innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

“2024年初頭、Windows脆弱性を突くDarkGateマルウェア攻撃が発覚”

"2024年初頭、Windows脆弱性を突くDarkGateマルウェア攻撃が発覚" - innovaTopia - (イノベトピア)

Last Updated on 2024-08-06 05:11 by admin

2024年1月中旬に観測されたDarkGateマルウェアキャンペーンは、最近修正されたMicrosoft Windowsのセキュリティ欠陥をゼロデイ攻撃で利用し、偽のソフトウェアインストーラーを使用した。Trend Microによると、このキャンペーンでは、PDFを通じてユーザーを誘い、Google DoubleClick Digital Marketing (DDM)のオープンリダイレクトを含むPDFが、疑いもなく被害者を悪意のあるサイトに誘導し、Microsoft Windows SmartScreenを回避するCVE-2024-21412を利用して悪意のあるMicrosoft (.MSI)インストーラーに導いた。CVE-2024-21412(CVSSスコア:8.1)は、認証されていない攻撃者が特別に作成されたファイルをクリックすることでSmartScreenの保護を回避できるインターネットショートカットファイルのセキュリティ機能バイパスの脆弱性に関するもので、2024年2月のPatch Tuesdayアップデートの一部としてMicrosoftによって修正された。しかし、それが修正される前に、Water Hydra(別名DarkCasino)と呼ばれる脅威アクターによって、金融機関を狙った攻撃でDarkMeマルウェアを配布するために悪用された。

Trend Microの最新の調査結果によると、この脆弱性は以前考えられていたよりも広範囲に悪用されており、DarkGateキャンペーンではGoogle広告のオープンリダイレクトと組み合わせてマルウェアを拡散している。この複雑な攻撃チェーンは、フィッシングメールで送信されたPDF添付ファイル内のリンクをクリックすることから始まり、Googleのdoubleclick[.]netドメインからのオープンリダイレクトを使用して、CVE-2024-21412を悪用する悪意のある.URLインターネットショートカットファイルをホストする侵害されたWebサーバーに被害者を誘導する。具体的には、オープンリダイレクトは、Apple iTunes、Notion、NVIDIAなどの正規のソフトウェアに偽装した偽のMicrosoftソフトウェアインストーラー(.MSI)を配布するように設計されており、これらはサイドロードされたDLLファイルを備えており、それによってユーザーはDarkGate(バージョン6.1.7)に感染する。

また、Windows SmartScreenの別の修正済みバイパス脆弱性(CVE-2023-36025、CVSSスコア:8.8)が過去数ヶ月にわたって、DarkGate、Phemedrone Stealer、およびMispaduを配布するために脅威アクターによって使用されている。Google広告技術の悪用により、脅威アクターは異なる広告キャンペーンを通じて攻撃のリーチと規模を拡大することができる。

【ニュース解説】

2024年1月中旬に発見されたDarkGateマルウェアキャンペーンは、Microsoft Windowsの最近修正されたセキュリティ脆弱性を悪用するゼロデイ攻撃を行いました。この攻撃では、偽のソフトウェアインストーラーが使用され、特にCVE-2024-21412という脆弱性が標的にされました。この脆弱性は、インターネットショートカットファイルのセキュリティ機能をバイパスし、未認証の攻撃者がSmartScreenの保護を回避することを可能にします。

攻撃の手法としては、フィッシングメールに添付されたPDF内のリンクをクリックさせることで、GoogleのDoubleClickを介したオープンリダイレクトを利用し、被害者を悪意のある.URLインターネットショートカットファイルがホストされているサイトに誘導します。このショートカットファイルは、CVE-2024-21412を悪用して、Apple iTunesやNotion、NVIDIAなどの正規のソフトウェアに偽装した偽のMicrosoftソフトウェアインストーラー(.MSI)をダウンロードさせ、最終的にDarkGateマルウェアに感染させます。

この攻撃キャンペーンの特徴は、Google広告の技術を悪用して、より広範囲にわたる被害者を狙う点にあります。オープンリダイレクトと偽のソフトウェアインストーラーの組み合わせは、多くの感染を引き起こす可能性があり、ユーザーに対しては、公式のチャネル以外からソフトウェアインストーラーを信用しないよう警告しています。

この種の攻撃は、セキュリティ対策の重要性を改めて浮き彫りにします。特に、最新のセキュリティパッチの適用、フィッシングメールに対する警戒、そして信頼できるソースからのみソフトウェアをダウンロードするといった基本的なセキュリティ対策が求められます。また、企業や組織では、従業員へのセキュリティ教育を強化し、不審なメールやリンクに対する認識を高めることが重要です。

長期的な視点では、このような攻撃の増加は、セキュリティ技術の進化とともに、攻撃手法も進化していることを示しています。そのため、セキュリティ業界は常に新たな脅威に対応するための研究と開発を進める必要があります。また、ソフトウェア開発者やプラットフォーム提供者にとっても、セキュリティを最優先事項として取り組むことが求められるでしょう。

from DarkGate Malware Exploits Recently Patched Microsoft Flaw in Zero-Day Attack.

投稿者アバター
admin
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » “2024年初頭、Windows脆弱性を突くDarkGateマルウェア攻撃が発覚”

““2024年初頭、Windows脆弱性を突くDarkGateマルウェア攻撃が発覚”” への1件のコメント

  1. 高橋 真一のアバター
    高橋 真一

    DarkGateマルウェアキャンペーンの報告は、セキュリティ脆弱性とサイバー攻撃の進化に対する注意を喚起するものです。最新のセキュリティパッチが適用されたとしても、攻撃者は常に新しい手法を模索し、これを悪用する方法を見つけ出します。この事例では、Googleの広告技術やMicrosoft Windowsのセキュリティ機能を悪用することで、攻撃者は非常に巧妙にユーザーをだましてマルウェアに感染させることができました。

    特に、CVE-2024-21412の脆弱性を悪用した攻撃は、セキュリティコミュニティにとって重要な警告となります。SmartScreenの保護を回避する能力は、攻撃者がユーザーの信頼を悪用しやすくするため、特に懸念されます。このような攻撃は、ユーザーがどれだけ注意深く行動しても、高度に偽装されたフィッシング試みによって簡単に騙される可能性があることを示しています。

    技術の進歩は、攻撃者に新たな手段を提供するだけでなく、セキュリティ専門家にとっても新たな防御戦略を模索する機会を提供します。この事件は、セキュリティ研究者とソフトウェア開発者が連携して、セキュリティ対策を一層強化し、脅

Latest News