6月14~17日:サイバーセキュリティ関連ニュース
DISGOMOJI:Discordから送られる絵文字で制御される、新たなLinuxマルウェア
BleepingComputer – June 15, 2024
Discordの絵文字を使ってコマンドの実行などを行う新たなLinuxマルウェア「DISGOMOJI」の詳細と同マルウェアを用いたサイバースパイキャンペーンについて、Volexityが報告。2024年に観測されたこの攻撃にはパキスタンを拠点にしていると思しき脅威アクター「UTA0137」が関与していると考えられており、インドの複数政府機関が標的になったという。
DISGOMOJIの性能は、コマンドの実行、スクリーンショットの撮影、ファイルの窃取、追加のペイロードのデプロイ、およびファイルの検索で、一般的なバックドアやボットネットなどとさほど違いはない。しかし、テキストベースのコマンドを検出しようとするセキュリティソフトウェアをバイパスするため、C2通信にDiscordの絵文字を利用する点で、ほかのマルウェアとは一線を画しているという。
DISGOMOJIはフィッシングメールを介して配布され、標的のデバイスに感染すると、攻撃者が制御するDiscordサーバーに接続し、絵文字が入力されるのを待つ。そして例えばスクリーンショットの取得を命じる「📸」などの絵文字が攻撃者によって打ち込まれると、これに「🕰️」という絵文字で反応し、コマンドを処理。この処理が終了すると、「🕰️」は削除されて「✅」という絵文字へと更新される。「📸」のほかにも、感染したデバイスからのファイルダウンロードを命じる「👇」や、感染したデバイスへのファイルアップロードを命じる「👆」など、9種類の絵文字がコマンドとして利用されるという。なおDISGOMOJIとDiscordサーバー間のやり取りは、オープンソースのプロジェクトである「discord-c2」を使って行われる。
このほかにもVolexityはブログ記事の中で、UTA0137が、インドの政府機関が用いるカスタムLinuxディストリビューション「BOSS 9」に対して脆弱性DirtyPipe(CVE-2022-0847)の特権昇格エクスプロイトを使っていたことなどにも言及。また、同アクターのスパイキャンペーンは成功を収めた模様であるとも伝えている。
CVE-2024-26229:Windowsにおける特権昇格の脆弱性にPoCエクスプロイト登場
Securityonline[.]info – JUNE 14, 2024
最近修正されたMicrosoft Windowsにおける脆弱性CVE-2024-26229に対するPoCエクスプロイトコードが最近になってGitHub上に公開され、同脆弱性への危機感が高まっている。
この脆弱性はWindows CSCにおける特権昇格の脆弱性で、ヒープベースのバッファオーバーフローに起因するもの。悪用に成功した攻撃者は、SYSTEM権限を取得できるようになる恐れがあるとされる。
マイクロソフトはもともと、今年4月の月例セキュリティ更新プログラムにおいてこの脆弱性に対処し、可及的速やかなアップデート適用を呼びかけていた。今回PoCエクスプロイトコード(①、②)がリリースされたことで、さほど優れたスキルを持たない攻撃者であっても同脆弱性を悪用しやすくなったため、パッチ適用の重要性がますます高まっている。
PoCコードの公開が、脆弱なシステムへの攻撃件数の増加に繋がり得ることはセキュリティの専門家が再三警告している通り。利用者である個人や組織には、Windowsシステムを速やかに最新版へ更新することが求められている。