Last Updated on 2024-02-14 17:31 by 荒木 啓介
2024年2月14日、マイクロソフトのDefender SmartScreenにおける新たに公開されたセキュリティ脆弱性が、金融市場のトレーダーを標的とした高度な持続的脅威(APT)アクターであるWater Hydra(別名DarkCasino)によってゼロデイとして悪用された。このキャンペーンは2023年12月下旬からTrend Microによって追跡されており、インターネットショートカットファイル(.URL)に関連するセキュリティバイパスの脆弱性であるCVE-2024-21412の悪用を含むと報告されている。
攻撃者はCVE-2024-21412を利用してMicrosoft Defender SmartScreenを回避し、被害者にDarkMeマルウェアを感染させる。マイクロソフトは2月のパッチ火曜日のアップデートでこの脆弱性に対処し、認証されていない攻撃者が特別に作成されたファイルを送信することでセキュリティチェックを回避できると述べている。ただし、攻撃者が被害者にファイルリンクをクリックさせ、攻撃者が制御するコンテンツを表示させることが成功の前提条件である。
Trend Microによる感染手順の文書化では、CVE-2024-21412を悪用して、外国為替取引フォーラムを通じて配布された株価チャート画像へのリンクを装った罠にかけられたURL(”fxbulls[.]ru”)をクリックすることで、悪意のあるインストーラーファイル(”7z.msi”)をドロップする。
このキャンペーンの最終目標は、被害者に株価グラフを表示しながら、裏でDarkMeというVisual Basicトロイの木馬をこっそりと配信することである。DarkMeは、追加の指示をダウンロードして実行する機能を備え、コマンドアンドコントロール(C2)サーバーに自身を登録し、侵害されたシステムから情報を収集する。
サイバー犯罪グループによって発見されたゼロデイが、国家支援のハッキンググループによって展開される洗練された攻撃のチェーンに組み込まれる新たな傾向がある中で、この開発は行われている。研究者らは、「Water Hydraは、高度なキャンペーンでゼロデイ脆弱性を発見し、悪用するための技術的知識とツールを持ち、DarkMeのような非常に破壊的なマルウェアを展開している」と述べている。
【ニュース解説】
2024年2月14日に公開されたセキュリティ脆弱性は、マイクロソフトのDefender SmartScreenにおける新たな問題点を露呈しました。この脆弱性は、金融市場のトレーダーを標的とする高度な持続的脅威(APT)アクターであるWater Hydra(別名DarkCasino)によってゼロデイ攻撃として悪用されています。この攻撃キャンペーンは、インターネットショートカットファイル(.URL)に関連するセキュリティバイパスの脆弱性CVE-2024-21412を利用しています。
攻撃者はこの脆弱性を悪用してMicrosoft Defender SmartScreenのセキュリティチェックを回避し、被害者のデバイスにDarkMeマルウェアを感染させることができます。このマルウェアは、被害者に見せかけた株価チャート画像のリンクをクリックさせることで、悪意のあるインストーラーファイルをダウンロードさせる手法を用いています。
この攻撃の特徴は、被害者がセキュリティ警告を受けずにマルウェアに感染する点にあります。攻撃者は、Windowsのデスクトップ検索アプリケーションを呼び出すために使用されるsearch:アプリケーションプロトコルを悪用し、SmartScreenのセキュリティチェックを回避しています。この手法により、被害者は自分のデバイスが危険にさらされていることを認識せずにマルウェアに感染するリスクがあります。
DarkMeマルウェアは、被害者のデバイスから情報を収集し、追加の悪意ある命令をダウンロードして実行する能力を持っています。これにより、攻撃者は被害者のデバイスを完全に制御し、さらなる悪意ある活動を行うことが可能になります。
この攻撃は、サイバー犯罪グループが発見したゼロデイ脆弱性が国家支援のハッキンググループによって洗練された攻撃に利用されるという新たな傾向を示しています。このような攻撃は、個人や企業にとって重大なセキュリティリスクをもたらし、セキュリティ対策の強化と早急な脆弱性の修正が求められます。
この事件は、サイバーセキュリティの重要性を改めて浮き彫りにし、企業や個人が自身のデジタル資産を保護するためには、常に最新のセキュリティ情報に注意を払い、適切な対策を講じる必要があることを示しています。また、ゼロデイ脆弱性の発見と報告、それに対する迅速な対応が、サイバー攻撃の被害を最小限に抑えるために不可欠であることを強調しています。
from DarkMe Malware Targets Traders Using Microsoft SmartScreen Zero-Day Vulnerability.
“金融トレーダー狙う新たな脆弱性、マイクロソフトが対応急ぐ” への1件のコメント
このニュースについて、私自身、営業セールスマンとして日々の業務で多くのデジタルツールを使用しているため、サイバーセキュリティの重要性は非常によく理解しています。特に、金融市場のトレーダーを標的としたこのような高度な攻撃は、私たちのビジネスにおいても無視できないリスクとなっています。私たち営業担当者も、顧客情報や機密情報を日々扱っているため、このような攻撃から自身を守る知識と対策が必要です。
Microsoft Defender SmartScreenのようなセキュリティシステムが回避され、DarkMeマルウェアによってデバイスが侵害される事態は、ただの金融トレーダーだけでなく、我々のようなビジネスパーソンにとっても深刻な問題です。個人の情報だけでなく、会社の機密情報も危険にさらされるため、セキュリティ対策の重要性がさらに高まります。
また、この事件はゼロデイ脆弱性を利用した攻撃がいかに洗練されているかを示しています。私たち一般ユーザーだけでなく、IT担当者やセキュリティ専門家も、常に最新の脅威に注意を払い、迅速に対応する必要があることを物語っています。企業としても、社員教育を含むセキ