Last Updated on 2024-09-18 05:11 by 門倉 朋宏
北朝鮮のハッカーがWindowsとmacOSで新たな攻撃手法を使用している。MITREのATT&CKデータベースには、2つの技術が追加される予定である。1つ目はAppleのmacOSでアプリケーションの権限を制御するセキュリティプロトコルであるTransparency, Consent, and Control (TCC)の操作であり、2つ目は「ファントム」ダイナミックリンクライブラリ(DLL)ハイジャックと呼ばれる技術で、Windowsで参照されているが実際には存在しないDLLファイルを悪用するものである。
TCC操作により、北朝鮮のAPT(Advanced Persistent Threat)は最近、Macを侵害している。TCCはユーザーとシステムレベルのデータベースを持ち、前者はユーザーの許可が必要で、後者はSystem Integrity Protection (SIP)によって保護されている。しかし、実際にはこれらの保護を回避するシナリオが存在する。例えば、開発者が自分のマシンで柔軟性を必要とする場合や、オペレーティングシステムによってブロックされている場合、Appleが設定した制御を減らすことがある。攻撃者は、TCCデータベースにアクセスしてユーザーに気付かれることなく権限を付与することができる。
ファントムDLLハイジャックに関しては、Windowsが実際には存在しない多数のDLLファイルを参照している。ハッカーは、同じ名前の悪意のあるDLLを作成し、同じ場所に書き込むことで、オペレーティングシステムによって気付かれることなくロードされる。Lazarus GroupやAPT 41 (別名 Winnti, Barium, Double Dragon)は、この戦術を使用している。
これらの攻撃を防ぐためには、TCCの場合はSIPを有効に保つことが重要であり、ファントムDLLハイジャックに対しては、監視ソリューションの実行、アプリケーションコントロールの積極的な展開、およびWindows Serverにデフォルトで含まれているDLLのリモートローディングを自動的にブロックする機能の使用が推奨される。
【ニュース解説】
北朝鮮のハッカーが、WindowsとmacOSのシステムを標的にした新たな攻撃手法を使用していることが明らかになりました。これらの手法は、MITREのATT&CKデータベースに新たに追加される予定です。一つ目の手法は、AppleのmacOSでアプリケーションの権限を制御するセキュリティプロトコルであるTransparency, Consent, and Control (TCC)の操作に関連しています。二つ目の手法は、Windowsで参照されているが実際には存在しないDLLファイルを悪用する「ファントム」ダイナミックリンクライブラリ(DLL)ハイジャックです。
TCC操作により、北朝鮮のAPT(Advanced Persistent Threat)は、macOSの環境内で特権アクセスを得ることが可能になり、そこからスパイ活動やその他の後続の攻撃を行うことができます。TCCは、アプリケーションがユーザーのデータやデバイスの機能にアクセスするための許可を管理するためのフレームワークです。しかし、開発者がシステムの柔軟性を求めてセキュリティ設定を緩和したり、ユーザーがセキュリティプロトコルを意図的に無効にしたりすることで、攻撃者はこの保護機能を回避することができます。
一方、ファントムDLLハイジャックは、Windowsが参照するが実際には存在しないDLLファイルを悪用することにより、攻撃者がシステムに不正なコードを注入することを可能にします。この手法を利用することで、攻撃者はオペレーティングシステムに気付かれることなく、悪意のあるDLLをロードすることができます。
これらの攻撃手法に対抗するためには、macOSではSystem Integrity Protection (SIP)を有効に保ち、Windowsでは監視ソリューションを実行し、アプリケーションコントロールを積極的に展開することが推奨されます。また、Windows Serverには、DLLのリモートローディングを自動的にブロックする機能がデフォルトで含まれており、この機能の使用も有効な対策の一つです。
これらの攻撃手法の発見と公表は、サイバーセキュリティの分野における継続的な脅威の進化を示しています。企業や個人は、最新の脅威に対して常に警戒し、適切なセキュリティ対策を講じることが重要です。また、これらの攻撃手法の発見は、セキュリティコミュニティにおける情報共有の重要性を強調しており、攻撃者による新たな手法の開発に対抗するためには、継続的な研究と協力が不可欠です。
from DPRK Exploits 2 New MITRE Techniques: Phantom DLL Hijacking, TCC Abuse.
“北朝鮮ハッカー、WindowsとmacOSに新攻撃手法を展開” への1件のコメント
この記事は、サイバーセキュリティの脅威がどのように進化し続けているかを示しています。特に、北朝鮮のハッカーがmacOSとWindowsシステムに対して新たな攻撃手法を用いていることが注目に値します。文学や映画の世界においても、このような技術的な脅威は作品のテーマや背景として取り入れられることがありますが、現実世界でのこの手の攻撃は、個人や企業にとって深刻なセキュリティ上のリスクをもたらします。
Transparency, Consent, and Control (TCC)の操作や「ファントム」ダイナミックリンクライブラリ(DLL)ハイジャックといった技術は、攻撃者がシステムに潜り込み、悪意のある行為を行うための巧妙な手段です。これらの攻撃手法が明らかになったことは、セキュリティ対策の重要性を再認識させるものであり、システムの保護を強化するための対応策の必要性を強調しています。
私たちが日常利用しているデバイスやシステムが、常に進化するサイバー攻撃の脅威にさらされていることを考えると、セキュリティ対策を常に最新の状態に保つことが不可欠です。また、このような攻撃手法に対する理解を深め、