Windows Defenderのゼロデイ、DarkMeマルウェアの展開に使われる（CVE-2024-21412）

2月14日： サイバーセキュリティ関連ニュース

Windows Defenderのゼロデイ、DarkMeマルウェアの展開に使われる（CVE-2024-21412）

BleepingComputer – February 13, 2024

マイクロソフトが13日にリリースした2024年2月の月例パッチで修正された脆弱性のうち、インターネット ショートカット ファイルにおけるセキュリティ機能バイパスのゼロデイ脆弱性CVE-2024-21412は、ハッキンググループWater Hydra（別称DarkCasino）によってリモートアクセス型トロイの木馬DarkMewp展開するために悪用されているという。攻撃を観測したトレンドマイクロの研究者が報告した。

CVE-2024-21412は、認証されていない攻撃者によるMark of the Web（MOTW）のバイパスを可能にする脆弱性。トレンドマイクロによれば、同脆弱性は別のDefender SmartScreenの脆弱性CVE-2023-36025に対するパッチをバイパスするものなのだという。なおCVE-2023-36025は2023年11月の月例パッチで修正されているが、情報窃取型マルウェアPhemedroneを展開する攻撃で悪用されていたことが明らかになっている。

一方でCVE-2024-21412を悪用する攻撃は、「高額な為替取引市場に参加する外国為替トレーダー」を標的にしているとされ、最終的にデータ窃取やランサムウェア展開が目指されているものとみられるという。Water Hydraは同脆弱性を利用して為替取引フォーラムや株取引関連のTelegramチャンネルを狙ったスピアフィッシング攻撃を実施し、トレーダーらを騙してDarkMeマルウェアをインストールさせようとしているとされる。

ALPHV、「重要な情報190GBを盗んだ」とカナダのパイプライン会社を脅迫

The Register – Tue 13 Feb 2024

ALPHV/BlackCatランサムウェアグループが、カナダの石油・ガス関連会社Trans-Northern Pipelinesから190GBのデータを盗んだと主張した。盗まれたファイルには「重要な情報すべて」が含まれるとされている。このグループの目的は金銭を得ることであり、身代金が支払われなければデータがリークされると思われる。

Trans-Northern Pipelinesは取材に対し、2023年11月に、少数の社内コンピューターシステムに影響するサイバーセキュリティインシデントに見舞われていたことを認めた。このインシデントは、サードパーティのサイバーセキュリティ専門家らの協力のもとですぐに収束し、パイプラインシステムも安全に運用を継続しているという。同社はまた、ダークウェブ上に会社情報を盗んだと主張する投稿があることは認識しており、それらについて現在調査中であるとも述べた。

ブローカーが中絶クリニック訪問者の位置データを中絶反対派に販売　米上院議員が公表

The Record – February 14th, 2024

米国のRon Wyden上院議員は13日、人工中絶に異を唱える政治団体がブローカーから携帯電話の位置情報を入手し、中絶クリニックの受診者へリプロダクティブ・ヘルスに関する虚偽情報を含む広告を配信するためにこの情報を利用していたと発表した。全国600軒の全米家族計画連盟（PPFA）クリニックを訪れた人々が、この広告のターゲットになったとされる。米連邦取引委員会と証券取引委員会に宛てた書簡では、データブローカーのNear Intelligenceに対して迅速に行動を起こし、データを侵害された患者のプライバシーが確実に保護されるよう求めている。

同議員は昨年、この件についてウォール・ストリート・ジャーナル紙が報道したことを受けてNearの調査を開始し、人工中絶に反対するプロライフ推進派が同社から流れたデータを使っていたことを確認した。声明では「データブローカーに米国人の携帯電話を追跡させ、過激派が全国数百か所のPPFA施設利用者に誤った情報を広めることに一役買うのであれば、右翼的思想をもつ検察官は同じ情報を使って女性を刑務所に送る可能性がある」と述べている。