Last Updated on 2024-07-02 08:37 by admin

北朝鮮のハッカーがConnectWiseのScreenConnectソフトウェアの重大な脆弱性を利用して、新しい変形するスパイウェアマルウェア「ToddleShark」を拡散している。ConnectWiseは最近、同社の人気リモートデスクトップアプリケーションに2つの欠陥があることを明らかにした。一つはパストラバーサルバグ（CVE-2024-1708）で、CVSSスケールで「高」の8.4のスコアが付けられ、もう一つは認証バイパスバグ（CVE-2024-1709）で、珍しい「重大」の10のスコアが付けられた。これらの脆弱性が公表された直後に、特にランサムウェアグループと連携する初期アクセスブローカー（IAB）を含むサイバー攻撃者が活動を開始し、数千の組織が攻撃の対象となった。

北朝鮮のAPT（高度持続的脅威）であるKimsuky（またの名をAPT43）も、この機会を利用してScreenConnectの脆弱性を悪用し、新しいバックドア「ToddleShark」を展開している。ToddleSharkは、以前のKimsukyのマルウェアに基づいているが、検出回避のアプローチにおいて特に際立っている。このマルウェアは、システム情報の収集、攻撃者が制御するコマンドアンドコントロール（C2）サーバーへの情報送信などの機能を持ち、暗号化されたPrivacy-Enhanced Mail（PEM）証明書を介してこれを行う。

ToddleSharkは、変数や関数にランダムな名前を使用することで静的検出を回避し、コードの文字列や順序をランダム化して標準的な署名ベースの検出を混乱させる。さらに、通常の悪意のあるコードには大量のジャンクコードや16進数でエンコードされたコードが混在しており、最終的な出力を複雑にしている。ToddleSharkに対するブロックリストは効果がないことも指摘されており、マルウェアの初期ペイロードと追加ステージのダウンロードに使用されるURLのハッシュが常に異なるためである。

このバックドアの検出が困難であることは、組織が更新する必要があることを強調している。ConnectWiseの顧客向けのパッチとその他のリソースは、ベンダーのウェブサイトで利用可能である。

【ニュース解説】

最近、北朝鮮のハッカー集団が、ConnectWiseのリモートデスクトップツール「ScreenConnect」に存在する重大な脆弱性を悪用し、新型のスパイウェア「ToddleShark」を拡散していることが明らかになりました。この脆弱性は、パストラバーサルバグ（CVE-2024-1708）と認証バイパスバグ（CVE-2024-1709）の2つで、特に後者は非常に重大なものと評価されています。

「ToddleShark」は、システム情報の収集や攻撃者が制御するサーバーへの情報送信など、従来のスパイウェアと同様の機能を持ちながら、検出を回避するための独自の手法を採用しています。具体的には、変数や関数の名前をランダムに変更することで静的検出を避け、コードの文字列や順序をランダム化して署名ベースの検出を混乱させるというものです。さらに、ジャンクコードや16進数でエンコードされたコードを混在させることで、検出を一層困難にしています。

このような検出回避技術の使用は、セキュリティ対策を講じている組織であっても、このマルウェアに感染するリスクがあることを意味します。特に、ブロックリストに基づく検出方法では効果が薄いため、組織は定期的なソフトウェアの更新やパッチの適用を怠らないことが重要です。

このニュースは、サイバーセキュリティの分野において、攻撃者が常に新しい手法を開発している現状を浮き彫りにしています。また、国家が支援するハッカー集団によるサイバー攻撃が、政府機関や研究機関だけでなく、民間企業にも及ぶ可能性があることを示しています。このような背景から、サイバーセキュリティ対策の重要性が一層高まっており、組織はセキュリティ体制の強化と従業員の教育により一層の注意を払う必要があります。

長期的な視点では、サイバー攻撃の手法が進化し続ける中で、セキュリティ技術もまた進化していく必要があります。検出が困難なマルウェアに対抗するためには、AIを活用した動的な検出手法や、行動ベースの分析技術など、新しいアプローチが求められるでしょう。また、国際的な協力による情報共有や、サイバーセキュリティに関する法規制の整備も、今後の課題となります。

from North Korea Hits ScreenConnect Bugs to Drop 'ToddleShark' Malware.

admin

See Full Bio