Last Updated on 2024-06-12 22:00 by 荒木 啓介
Black Bastaランサムウェアが関連する脅威アクターによって、Microsoft Windowsのゼロデイ脆弱性が悪用された可能性があるとSymantecの新たな調査で明らかになった。このセキュリティ上の欠陥は、Windowsエラー報告サービスにおける特権昇格のバグ(CVE-2024-26169、CVSSスコア:7.8)であり、システム権限を得るために悪用される可能性がある。Microsoftは2024年3月にこの脆弱性を修正した。
SymantecのThreat Hunter Teamは、最近の攻撃で使用されたエクスプロイトツールの分析から、パッチが適用される前にコンパイルされた証拠が見つかったことを明らかにした。これは、少なくとも一つのグループがゼロデイとしてこの脆弱性を悪用していた可能性があることを示している。この脅威アクターは、Cardinalとして追跡されており、Storm-1811やUNC4393としても知られている。Black Bastaランサムウェアを展開することでアクセスを金銭化し、通常は他の攻撃者によって得られた初期アクセスを利用してターゲット環境に侵入する。
近月には、この脅威アクターがMicrosoftの製品、特にQuick AssistやMicrosoft Teamsを攻撃ベクトルとして使用していることが観察された。Microsoftによると、脅威アクターはTeamsを使用してメッセージを送信し、ITまたはヘルプデスクの担当者を装って通話を開始する。この活動は、Quick Assistの悪用、EvilProxyを使用したクレデンシャル盗難、バッチスクリプトの実行、そしてSystemBCを使用した持続性とコマンド&コントロールにつながる。
Symantecは、ランサムウェア攻撃の試みの一環として、このエクスプロイトツールが使用されたが、攻撃は成功しなかったと述べた。このツールは、Windowsファイルwerkernel.sysがレジストリキーを作成する際にnullセキュリティ記述子を使用するという事実を利用している。エクスプロイトはこれを利用して「HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe」レジストリキーを作成し、その「Debugger」値として自身の実行可能パス名を設定する。これにより、エクスプロイトは管理権限を持つシェルを起動することができる。
このアーティファクトのメタデータ分析から、それが2024年2月27日にコンパイルされたことが示されており、これはMicrosoftによって脆弱性が対処される数週間前である。VirusTotalで発見された別のサンプルには、2023年12月18日のコンパイルタイムスタンプがあった。
【ニュース解説】
Microsoft Windowsのゼロデイ脆弱性が、Black Bastaランサムウェアに関連する脅威アクターによって悪用された可能性があるというSymantecの新たな調査結果が注目を集めています。この脆弱性は、Windowsエラー報告サービス内の特権昇格のバグ(CVE-2024-26169、CVSSスコア:7.8)であり、攻撃者がシステム権限を得るために悪用することが可能です。Microsoftはこの問題を2024年3月に修正しましたが、Symantecの分析によると、パッチ適用前にこの脆弱性を悪用するエクスプロイトツールがコンパイルされていた証拠が見つかりました。
この発見は、セキュリティ研究者やITプロフェッショナルにとって重要な意味を持ちます。ゼロデイ脆弱性の存在は、攻撃者がパッチが適用される前にシステムを侵害する機会を持つことを意味します。この場合、Black Bastaランサムウェアの背後にいる脅威アクターは、他の攻撃者が確立した初期アクセスを利用して、ランサムウェアを展開し、ターゲット環境に侵入することが可能でした。
さらに、この脅威アクターがMicrosoftの正規製品、特にQuick AssistやMicrosoft Teamsを攻撃ベクトルとして使用していたことも注目に値します。これは、攻撃者がますます巧妙な手法を用いてターゲットの信頼を得ることを試みていることを示しています。このような攻撃手法は、組織が従業員に対してセキュリティ意識の向上と教育を強化することの重要性を浮き彫りにします。
この事件は、セキュリティコミュニティにおけるゼロデイ脆弱性の迅速な特定と修正の重要性を再確認させます。また、企業がセキュリティ対策を常に最新の状態に保ち、攻撃者が利用可能な攻撃ベクトルを最小限に抑えるために、継続的な監視と脆弱性管理が必要であることを示しています。
長期的な視点では、このような攻撃の増加は、サイバーセキュリティの規制や基準の強化を促す可能性があります。企業や組織は、攻撃者による悪用を防ぐために、より厳格なセキュリティプロトコルと対策を実装する必要があるかもしれません。また、この事件は、セキュリティソリューションの開発者にとって、攻撃者が使用する新しい手法や戦術に対抗するための革新的な対策を開発する機会を提供します。
最終的に、このような脅威の発生は、サイバーセキュリティが進化し続ける分野であり、攻撃者と防御者の間の絶え間ない競争であることを思い出させます。組織は、セキュリティ対策を継続的に評価し、更新することで、この競争において一歩先を行くことが求められます。
from Black Basta Ransomware May Have Exploited MS Windows Zero-Day Flaw.
