Last Updated on 2024-07-15 04:24 by 門倉 朋宏
北朝鮮の脅威アクターがConnectWise ScreenConnectの最近公表されたセキュリティ上の欠陥を悪用し、TODDLERSHARKと呼ばれる新しいマルウェアを展開した。このマルウェアは、以前に発見されたKimsukyマルウェアであるBabySharkやReconSharkと重なる部分がある。被害者のワークステーションへのアクセスは、ScreenConnectアプリケーションの露出したセットアップウィザードを悪用することで得られた。その後、攻撃者はcmd.exeを使用してmshta.exeを実行し、Visual Basic(VB)ベースのマルウェアへのURLを実行した。
問題のConnectWiseの欠陥はCVE-2024-1708とCVE-2024-1709で、先月明らかになり、以来、複数の脅威アクターによって暗号通貨マイナー、ランサムウェア、リモートアクセストロイの木馬、スティーラーマルウェアの配信に重度に悪用されている。Kimsukyは、GoBearやTroll Stealerなどの新しいツールを含むマルウェアの兵器庫を着実に拡大している。BabySharkは2018年末に初めて発見され、HTAファイルを使用して起動される。起動すると、VBスクリプトマルウェアはシステム情報をコマンドアンドコントロール(C2)サーバーに抽出し、システム上での永続性を維持し、オペレーターからのさらなる指示を待つ。2023年5月には、特定の個人をターゲットにしたスピアフィッシングメールを通じて配信されるBabySharkの変種であるReconSharkが観察された。TODDLERSHARKは、コードおよび行動の類似性により、同じマルウェアの最新の進化であると評価されている。このマルウェアは、永続性のためにスケジュールされたタスクを使用するだけでなく、侵害されたホストに関する機密情報をキャプチャして抽出するよう設計されており、貴重な偵察ツールとして機能する。
韓国の国家情報院(NIS)は、北朝鮮が2つの国内半導体メーカーのサーバーを侵害し、貴重なデータを盗んだと非難した。これらのデジタル侵入は2023年12月と2024年2月に発生した。脅威アクターは、初期アクセスを得るためにインターネットに露出し、脆弱なサーバーを標的にし、マルウェアをドロップするのではなく、検出をよりよく回避するために土地の生活技術(LotL)を活用した。
【ニュース解説】
北朝鮮の脅威アクターが、ConnectWise ScreenConnectのセキュリティ上の欠陥を悪用して、TODDLERSHARKという新しいマルウェアを展開したという報告があります。このマルウェアは、以前に発見されたKimsukyマルウェア群、特にBabySharkやReconSharkとの類似点が指摘されています。攻撃者は、ScreenConnectアプリケーションのセットアップウィザードの脆弱性を突いて被害者のワークステーションにアクセスし、コマンドプロンプトやVisual Basicを用いてマルウェアを実行しました。
この攻撃で利用されたConnectWiseの脆弱性はCVE-2024-1708とCVE-2024-1709で、これらは最近明らかにされ、暗号通貨マイナー、ランサムウェア、リモートアクセストロイの木馬、スティーラーマルウェアの配信に悪用されています。Kimsukyは、GoBearやTroll Stealerなどの新しいツールを含むマルウェアの兵器庫を拡大しています。
TODDLERSHARKは、システム情報を抽出し、システム上での永続性を維持し、侵害されたホストに関する機密情報をキャプチャして抽出することで、貴重な偵察ツールとして機能します。このマルウェアは、コードの変更やジャンクコードの生成を通じて、検出を回避するためのポリモーフィック(多形性)の振る舞いを示します。
さらに、韓国の国家情報院(NIS)は、北朝鮮が国内の半導体メーカーのサーバーを侵害し、貴重なデータを盗んだと非難しています。これらの侵入は、マルウェアを使用するのではなく、土地の生活技術(LotL)を活用して検出を回避する手法を用いました。
このニュースは、サイバーセキュリティの重要性を改めて浮き彫りにしています。特に、ソフトウェアの脆弱性を迅速に特定し、修正することの重要性が強調されます。また、国家レベルでのサイバー攻撃が増加している現状を考えると、企業や政府機関は、防御策を強化し、脅威情報の共有に努める必要があります。長期的には、サイバーセキュリティの専門家の育成や、国際的な協力体制の構築も重要な課題となるでしょう。ポジティブな側面としては、このような事件が発生することで、セキュリティ対策の重要性が再認識され、より強固な防御体制の構築につながる可能性があります。しかし、潜在的なリスクとしては、個人情報や企業秘密の流出による経済的損失や、国家安全保障への影響が懸念されます。規制に与える影響としては、サイバーセキュリティに関する法律や規制の強化が期待されますが、その適用範囲や実効性には注意が必要です。
from Hackers Exploit ConnectWise ScreenConnect Flaws to Deploy TODDLERSHARK Malware.
“北朝鮮の新マルウェア「TODDLERSHARK」、半導体データ窃盗に関与” への1件のコメント
このようなニュースを見ると、サイバーセキュリティの重要性が日に日に高まっていることが明らかですね。私たちの電気店でも、最近ではスマート家電やセキュリティシステムを扱うようになり、顧客からのセキュリティに関する相談が増えています。特に、北朝鮮によるこのようなサイバー攻撃のニュースは、地方の小さな店舗にとっても他人事ではありません。私たちのような小規模事業者でも、情報セキュリティを疎かにすることはできません。
ConnectWise ScreenConnectのようなソフトウェアが攻撃の対象になると、使用している企業や個人は大きなリスクにさらされます。この事件は、脆弱性の迅速な修正やセキュリティアップデートの重要性を改めて教えてくれます。また、攻撃者が新しい手法やマルウェアを開発し続けていることから、常に警戒し、最新の脅威情報に注意を払う必要があることを示しています。
しかし、サイバーセキュリティ対策は、特に地方や中小企業にとっては、専門知識やコストの面で大きな負担となりがちです。このような状況では、地方自治体や業界団体が主導して、セキュリティ対策の普及や教育プログラムを提供することが必要かもしれません