Last Updated on 2024-08-06 05:05 by admin
Lazarus Groupは、最近パッチが当てられたWindowsカーネルの特権昇格の脆弱性(CVE-2024-21338、CVSSスコア:7.8)をゼロデイとして悪用し、カーネルレベルのアクセスを取得し、侵害されたホスト上のセキュリティソフトウェアを無効にしました。この脆弱性は、攻撃者がシステム特権を取得することを可能にし、Microsoftによって今月初めにPatch Tuesdayのアップデートの一部として解決されました。Microsoftは、この脆弱性を悪用するためには、攻撃者がまずシステムにログオンする必要があると述べています。その後、攻撃者は特別に作成されたアプリケーションを実行して脆弱性を悪用し、影響を受けるシステムの制御を取ることができます。
アップデートのリリース時にCVE-2024-21338のアクティブな悪用の兆候はありませんでしたが、Microsoftは水曜日にその「悪用可能性評価」を「悪用が検出された」と改訂しました。サイバーセキュリティベンダーのAvastは、このバグのための野生での管理者からカーネルへの悪用を発見し、Lazarus Groupがその脆弱性を武器化することでカーネル読み書きプリミティブを達成し、更新されたバージョンのFudModuleルートキットで直接カーネルオブジェクト操作を行うことができたと述べました。FudModuleルートキットは、感染したホスト上のすべてのセキュリティソリューションの監視を無効にすることができるとして、ESETとAhnLabによって2022年10月に初めて報告されました。
Lazarus Groupによる最新の攻撃の重要性は、既にターゲットマシンにインストールされていると知られているドライバーのゼロデイを悪用することで「BYOVDを超える」という点にあります。その脆弱性のあるドライバーはappid.sysで、WindowsコンポーネントであるAppLockerの機能に不可欠です。Lazarus Groupによって考案された実際のエクスプロイトは、appid.sysドライバー内のCVE-2024-21338を使用して、すべてのセキュリティチェックをバイパスし、FudModuleルートキットを実行する任意のコードを実行します。
この開発は、北朝鮮のハッキンググループに関連する技術的な洗練度の新たなレベルを示し、検出を回避し、追跡をより困難にするために使用される精巧な技術を示しています。また、Lazarus GroupがApple macOSシステムにマルウェアをこっそりとインストールするために偽のカレンダー会議招待リンクを使用していることが観察されたことから、そのクロスプラットフォームの焦点も例示されています。このキャンペーンは、以前にSlowMistによって2023年12月に文書化されました。
【ニュース解説】
最近、北朝鮮のハッキンググループであるLazarus Groupが、Windowsカーネルの特権昇格の脆弱性(CVE-2024-21338)をゼロデイ攻撃として悪用したことが明らかになりました。この脆弱性は、攻撃者にシステムレベルのアクセス権を与えるもので、Microsoftによって最近パッチが適用されました。しかし、このパッチが適用される前に、Lazarus Groupはこの脆弱性を利用して、セキュリティソフトウェアを無効にするなどの行動を取っていました。
この攻撃の特徴的な点は、既にターゲットマシンにインストールされているドライバー、appid.sysを悪用したことです。このドライバーはWindowsのAppLocker機能に関連しており、Lazarus Groupはこの脆弱性を利用して、セキュリティチェックを回避し、FudModuleルートキットを実行することができました。FudModuleルートキットは、感染したホスト上のセキュリティソリューションの監視を無効にする能力があると以前から報告されています。
この攻撃は、北朝鮮のハッキンググループが技術的にさらに洗練され、検出を避けるための複雑な手法を用いていることを示しています。また、Lazarus Groupがクロスプラットフォームで活動していることも明らかになり、Apple macOSシステムに対する攻撃も行っていることが確認されました。
このような攻撃は、セキュリティソフトウェアの無効化だけでなく、システムの深部にアクセスし、様々な悪意ある活動を行うことを可能にします。そのため、企業や個人は、セキュリティパッチの適用を迅速に行うこと、不審なメールやリンクに注意すること、セキュリティソフトウェアを最新の状態に保つことが重要です。
また、この攻撃は、サイバーセキュリティの規制や政策にも影響を与える可能性があります。国家レベルのハッキンググループによる高度な攻撃が増加する中、国際的な協力やサイバーセキュリティ対策の強化が求められています。長期的には、より安全なシステムの開発や、AIなどの技術を利用したセキュリティ対策の進化が期待されます。
from Lazarus Hackers Exploited Windows Kernel Flaw as Zero-Day in Recent Attacks.
“北朝鮮Lazarus Group、Windowsカーネル脆弱性を悪用しセキュリティ無効化” への1件のコメント
Lazarus Groupによるこの攻撃は、サイバーセキュリティの世界において非常に重要な意味を持っています。まず、この攻撃が示している技術的洗練度は、セキュリティ専門家やエンジニアにとって大きな懸念事項です。特に、既にターゲットマシンにインストールされているドライバーを悪用し、セキュリティソリューションの監視を無効にする能力は、防御戦略に大きな影響を与えます。
この攻撃の背景にある技術的な側面を見ると、特権昇格の脆弱性を悪用することで、攻撃者がシステムの深部にアクセスできる点が非常に危険です。これは、セキュリティ対策がいかに進んでも、システムに存在する未知の脆弱性が攻撃者に悪用されるリスクがあることを意味します。私たちITエンジニアは、このような脆弱性を早期に発見し、修正するための効率的な方法を開発する必要があります。
また、この攻撃はクロスプラットフォームで行われていることも注目に値します。Lazarus GroupがWindowsだけでなく、Apple macOSシステムに対しても攻撃を仕掛けていることは、セキュリティ対策を複数のプラットフォームにわたって強化する必要がある