Last Updated on 2025-04-08 11:54 by admin
ToddyCat APTグループによるESET脆弱性悪用攻撃の概要
- 発見時期:
Kasperskyの研究者らが2024年初頭に発見し、1年以上の詳細調査を経て2025年4月に最終レポートを公開 - 攻撃対象:
ESETのコマンドラインスキャナー(ecls)の脆弱性(CVE-2024-11859) - 攻撃手法:
- DLLプロキシング技術を使用
- 正規のDLLと同名の悪意あるファイル(version.dll)を配置
- セキュリティソフト自体を踏み台にしてマルウェア実行
- 使用ツール:
- 「TCESB」と呼ばれる高度なマルウェアツール
- オープンソースの「EDRSandBlast」をベースに開発
- DellのDBUtilDrv2.sysドライバー(CVE-2021-36276)を悪用
- 機能:
- カーネル構造を変更して通知ルーチンを無効化
- 2秒ごとに特定のペイロードファイル(kespとecore)をチェック
- AES-128暗号化を使用してデータを復号・実行
- 対応状況:
- ESETは2025年1月21日に脆弱性を修正
- 2025年4月4日にセキュリティアドバイザリを公開
- Kasperskyの製品はこのマルウェアを「Trojan.Win64.ToddyCat.a/b」として検出
- 重要性:
- セキュリティソフト自体が攻撃の足がかりになるという新たな脅威
- 多層防御の重要性を示す事例
- 定期的なセキュリティアップデートの必要性を再確認
from: How ToddyCat tried to hide behind AV software
【編集部解説】
今回のToddyCat APTグループによるESET製品の脆弱性を悪用した攻撃は、サイバーセキュリティの世界に大きな衝撃を与えました。セキュリティソフトウェア自体が攻撃の足がかりとなるという事実は、多くの人々にとって驚きだったでしょう。
この事例は、高度な攻撃者が常に新しい手法を模索していることを示しています。セキュリティ製品への信頼を逆手に取る戦略は、非常に巧妙だと言えるでしょう。
TCESBツールの複雑さは、APTグループの技術力の高さを物語っています。オープンソースのマルウェアをベースに独自の機能を追加し、カーネルレベルでの操作を可能にするなど、その手法は洗練されています。
この攻撃が示唆するのは、セキュリティの世界に「絶対安全」はないということです。信頼されているセキュリティ製品でさえ、脆弱性を持つ可能性があります。
企業や組織にとって、この事例は防御戦略の見直しを促すきっかけとなるでしょう。単一のセキュリティソリューションに頼るのではなく、多層防御の重要性が改めて認識されることになるかもしれません。
一方で、このような高度な攻撃に対処するには、セキュリティ企業と研究者の協力が不可欠です。ESETとKasperskyの協調的な対応は、業界全体にとって良い前例となったと言えるでしょう。
今後は、セキュリティ製品の開発においても、より厳密なコード審査や脆弱性テストが求められるかもしれません。また、ユーザー側も定期的なアップデートの重要性を再認識する必要があります。
長期的には、このような事例の積み重ねが、より強固なセキュリティエコシステムの構築につながることが期待されます。しかし同時に、攻撃者と防御者の終わりなき攻防が続くことも覚悟しなければならないでしょう。
【用語解説】
APT(Advanced Persistent Threat):
特定の組織や国家を標的とした、高度で持続的なサイバー攻撃を行うグループのこと。一般的なサイバー犯罪者と異なり、長期間にわたって潜伏し、機密情報の窃取などを目的とする。
DLLプロキシング/DLLハイジャッキング:
アプリケーションがDLL(Dynamic Link Library)ファイルを安全でない方法で読み込む脆弱性を悪用する攻撃手法。正規のDLLと同名の悪意あるファイルを配置することで、マルウェアコードを実行できる。家に例えると、正規の宅配業者に成りすまして家に入り込む泥棒のようなものである。
BYOVD(Bring Your Own Vulnerable Driver):
攻撃者が脆弱性を持つ正規のドライバーを意図的にシステムに導入し、その脆弱性を悪用してシステム権限を奪取する攻撃手法。警備員の制服を着て施設に侵入するようなものである。
カーネル:
オペレーティングシステムの中核部分で、ハードウェアとソフトウェアの間を仲介する役割を持つ。高い権限で動作するため、カーネルレベルでの攻撃は非常に危険である。
EDR(Endpoint Detection and Response):
エンドポイント(PCやサーバーなど)での脅威検知と対応を行うセキュリティソリューション。
ToddyCat:
2020年12月以降、ヨーロッパやアジアの高プロファイルな組織を標的にした攻撃を行っているAPTグループ。「Samurai backdoor」と「Ninja Trojan」という独自のツールを使用することで知られている。
ESET:
1992年に設立されたスロバキアのセキュリティソフトウェア会社。世界中で1億以上のユーザーを持つ。
Kaspersky:
1997年に設立されたロシアのサイバーセキュリティ企業。世界的なアンチウイルスソフトウェアベンダーとして知られている。
【参考リンク】
ESET公式サイト(外部)
ESETのセキュリティソリューションを提供する公式サイト。個人向けから企業向けまで幅広い製品を扱っている。
Kaspersky公式サイト(外部)
Kasperskyのセキュリティ製品やサービスを提供する公式サイト。脅威インテリジェンスや研究レポートも公開している。
Securelist(Kasperskyのセキュリティブログ)(外部)
Kasperskyの研究者によるセキュリティ脅威の分析や最新の研究結果を公開しているブログ。
MITRE ATT&CK(外部)
サイバー攻撃の戦術や技術をまとめたナレッジベース。セキュリティ研究者や専門家が参照する重要なリソース。
【編集部追記】
まず驚いたのが “セキュリティソフト自体が攻撃の足がかりになる” ということです。何でもかんでもインストールしてしまったり、ネット上にあまり情報のないものを入れてしまうことで攻撃の対象になってしまう可能性があること、ひえええ~と思いました。
攻撃者は脳の回転が速いんでしょうね,,,,,,,怖い!!
セキュリティ製品への信頼を逆手に取る戦略は、非常に巧妙、本当にその通りで技術や頭の良さに凄いな、と思うと同時にとても恐ろしく感じました,,,,,。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
