8月10~13日:サイバーセキュリティ関連ニュース
中国のハッカーグループがロシアの政府機関やIT企業を攻撃
BleepingComputer – August 11, 2024
ロシアの政府機関やIT企業を狙い、2024年7月末から始まった一連の標的型サイバー攻撃は、APT31やAPT27など中国のハッカーグループによるものである可能性が高いとカスペルスキー社が報じている。
同社が「EastWind」と名付けたこのキャンペーンでは、RARアーカイブ添付ファイルを含むフィッシングメールを初期感染ベクトルに利用。このファイルからDLLサイドローディングによって投下されるバックドアを介し、APT31に関連付けられているトロイの木馬GrewApacha、検出回避を目的にVMProtectでパックされたCloudSorcerer、APT27との関連が指摘されるPlugYといったマルウェアが送り込まれるという。
カスペルスキー社によると、5月に確認された同様のサイバースパイ活動でも、CloudSorcerer更新版でロシアの政府機関が標的にされたことがわかっている。しかし、このマルウェアを使ったキャンペーンはロシアだけを狙ったものではないようで、米国のセキュリティ企業Proofpointが国内シンクタンクを狙った攻撃を確認している。
マイクロソフト、OpenVPNの脆弱性と攻撃チェーン構築の危険性について警告(CVE-2024-27459、CVE-2024-24974他)
SecurityWeek – August 12, 2024
マイクロソフトはセキュリティカンファレンス「Black Hat」という多くの注目が集まる機会を利用し、OpenVPNにおける複数の脆弱性を文書化するとともに、リモートコード実行(RCE)用のエクスプロイトチェーンを作成される危険性について警告した。
同社の研究者が発見した脆弱性はCVE-2024-27459、CVE-2024-24974、CVE-2024-27903、CVE-2024-1305で、すでにOpenVPN 2.6.10で修正されているとのこと。さらに、これらの欠陥を悪用するにはユーザー認証だけでなく、OpenVPNの内部動作について深い理解が必要と説明された。
しかし、攻撃者がユーザーの認証情報にアクセスできた場合は、複数の脆弱性を突かれて高度な攻撃チェーンを構築され、標的のエンドポイントを完全に制御される恐れがあるという。マイクロソフトの説明によると、上記4件の脆弱性のうち3件を使ってエクスプロイトを作成することで、RCEとLPE(ローカル権限昇格)が可能になるようだ。
またLPEの達成後には、BYOVD(Bring Your Own Vulnerable Driver)攻撃を実施したり、既知の脆弱性を悪用したりといった方法で感染させたエンドポイントに永続性を確立される可能性が明らかになった。同社はユーザーに対し、OpenVPN 2.6.10で利用可能なパッチを適用するよう強く推奨している。