ESET脆弱性をToddyCat APTグループが悪用 – セキュリティソフトを踏み台にした新たなDLLプロキシング攻撃

2025年4月8日7:56

サイバーセキュリティニュース

ESET脆弱性をToddyCat APTグループが悪用 - セキュリティソフトを踏み台にした新たなDLLプロキシング攻撃 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-08 10:28 by admin

高度な持続的脅威（APT）グループであるToddyCatが、ESETのセキュリティソフトウェアに存在する脆弱性を悪用して攻撃を行っていたことが明らかになった。

Kasperskyの研究者らは2024年初頭、ToddyCat関連のインシデントを調査中に、複数のデバイスの一時ディレクトリに「version.dll」という不審なファイルを発見した。このファイルはC++で書かれた64ビットDLLで、「TCESB」と呼ばれる複雑なマルウェアツールであることが判明した。

TCESBはDLLプロキシング技術（T1574）を使用しており、ESETのコマンドラインスキャナー（ESET Command line scanner）に存在する脆弱性（CVE-2024-11859）を悪用していた。この脆弱性により、スキャナーはシステムライブラリversion.dllを安全でない方法でロードし、現在のディレクトリにある悪意のあるDLLを読み込んでしまう。

ESETはこの脆弱性を認識し、2025年1月21日にアップデートをリリースして修正を行った。また、2025年4月4日にはセキュリティアドバイザリでこの脆弱性に関する情報を公開した。

TCESBツールはオープンソースの悪意のあるツール「EDRSandBlast」をベースに作成されており、カーネル構造を修正して通知ルーチンを無効化する機能を持つ。また、Dellの脆弱なドライバー「DBUtilDrv2.sys」（CVE-2021-36276）を使用して、システムイベントの通知に使用されるコールバックを保存するカーネル構造を修正する。

Kasperskyの製品はこのツールを「Trojan.Win64.ToddyCat.a」および「Trojan.Win64.ToddyCat.b」として検出する。

研究者らは、このような攻撃を検出するために、既知の脆弱性を持つドライバーのインストールイベントの監視や、Windowsカーネルデバッグシンボルのロードに関連するイベントの監視を推奨している。

from:How ToddyCat tried to hide behind AV software

【編集部解説】

高度なサイバー攻撃手法の進化：セキュリティソフトを悪用する新たな脅威

今回のToddyCatによる攻撃は、サイバーセキュリティの世界に新たな警鐘を鳴らすものです。特に注目すべきは、攻撃者が防御側のツールであるセキュリティソフトウェア自体を悪用したという点です。これはまさに「城を守る騎士の鎧を着て侵入する」という戦略に例えられるでしょう。

ToddyCatはこれまでにも政府機関や教育機関を標的にした高度な攻撃を行ってきたAPTグループとして知られています。彼らは主に東南アジアや欧州の組織を標的としており、2021年頃から活発に活動しています。今回彼らが開発したTCESBツールは、その洗練された手法を示す好例といえます。

DLLプロキシングという技術自体は新しいものではありませんが、信頼されているセキュリティソフトウェア（ESET）の脆弱性と組み合わせることで、検出を回避する効果を高めています。通常、セキュリティソフトウェアの動作は他の監視ツールから「信頼できる」と見なされるため、このアプローチは非常に巧妙です。

技術的な詳細とその意味合い
TCESBツールの技術的な側面も興味深いものがあります。オープンソースの攻撃ツール「EDRSandBlast」をベースにしながらも、独自の機能拡張を行っている点は、攻撃者が既存のツールを効率的に流用しつつも、自分たちの目的に合わせてカスタマイズする傾向を示しています。

特に注目すべきは、このツールがカーネルレベルでの操作を可能にするために、Dellの脆弱なドライバー（DBUtilDrv2.sys）を利用している点です。これはBYOVD（Bring Your Own Vulnerable Driver）と呼ばれる手法で、Windowsのセキュリティ対策を回避するために正規の署名付きドライバーの脆弱性を悪用します。

このような多層的な攻撃手法は、現代のサイバーセキュリティ防御が直面している課題の複雑さを浮き彫りにしています。単一の防御層ではなく、多層防御の重要性を改めて認識させられます。

企業や組織への影響と対策
この種の攻撃は特に企業や組織にとって大きな脅威となります。セキュリティソフトウェアへの信頼は組織のセキュリティ戦略の基盤となっているからです。

対策としては、Kasperskyの研究者が推奨しているように、既知の脆弱性を持つドライバーのインストールイベントを監視することが重要です。また、Windowsカーネルデバッグシンボルのロードに関連するイベントも監視すべきでしょう。

ESETは迅速に対応し、2025年1月に脆弱性を修正するアップデートをリリースしました。これは責任あるセキュリティベンダーの対応として評価できます。しかし、この事例は全てのセキュリティソフトウェアにも脆弱性が存在する可能性を示しており、ベンダーは自社製品のセキュリティ検証をより厳格に行う必要があるでしょう。

将来への展望
このような攻撃手法の出現は、サイバーセキュリティの「猫とネズミのゲーム」が続いていることを示しています。防御側が新たな保護策を導入すると、攻撃側はそれを回避する新たな方法を見つけ出します。

特に懸念されるのは、セキュリティソフトウェア自体が攻撃の足がかりになるという逆説的な状況です。これは「誰が見張り役を見張るのか」という古典的な問いを思い起こさせます。

今後は、セキュリティソフトウェアのコード品質と安全な実装がより重要になるでしょう。また、ゼロトラストアーキテクチャのような、すべてのソフトウェア（セキュリティソフトウェアを含む）を信頼せず、常に検証するアプローチの重要性が高まると考えられます。

この事例は、テクノロジーの進化とともにサイバーセキュリティの課題も進化し続けることを示す重要な教訓となっています。私たちは常に警戒を怠らず、セキュリティ対策を継続的に見直し、強化していく必要があるのです。

【用語解説】

APT（Advanced Persistent Threat）:
高度な持続的脅威。特定の組織や国家を標的に、長期間にわたって継続的に行われる組織的なサイバー攻撃のこと。一般的なマルウェアと異なり、特定の目的を持ち、高度な技術を駆使する。

ToddyCat:
2021年頃から活動が確認されているAPTグループ。東南アジアや欧州の政府機関、軍事組織、教育機関などを標的としている。高度な技術と独自のマルウェアツールを使用することで知られている。

DLLプロキシング:
正規のDLLファイルの代わりに悪意のあるDLLファイルをシステムに読み込ませる手法。本来のDLLと同じ名前を使い、アプリケーションの検索順序を悪用して、悪意のあるコードを実行する。

BYOVD（Bring Your Own Vulnerable Driver）:
攻撃者が脆弱性のある正規のドライバーを利用して、システムのセキュリティを回避する手法。

EDR（Endpoint Detection and Response）:
エンドポイント（PCやサーバーなど）での脅威検知と対応を行うセキュリティソリューション。通常のウイルス対策より高度な監視と対応が可能。

カーネル:
オペレーティングシステムの中核部分。ハードウェアとソフトウェアの間を仲介し、システム全体を制御する最も基本的なソフトウェア層。

【参考リンク】

ESET（外部）
スロバキア発のセキュリティソフトウェア企業。日本ではキャノンITソリューションズが販売

Kaspersky（カスペルスキー）（外部）
ロシア発の世界的サイバーセキュリティ企業。今回のToddyCat攻撃を発見・分析

Dell（外部）
米国のコンピューターメーカー。攻撃で悪用されたDBUtilDrv2.sysドライバーの開発元

【編集部後記】

皆さん、サイバーセキュリティの世界は日々進化しています。今回のToddyCatの事例のように、守るはずのセキュリティソフトが攻撃の入り口になるという皮肉な状況も起きています。普段何気なく使っているセキュリティソフトの更新はきちんと行っていますか？また、企業のIT担当者の方は、信頼しているツールでも盲信せず、多層的な防御を検討されてはいかがでしょうか。皆さんのセキュリティ対策について、ぜひSNSでシェアしていただければと思います。