Windowsのゼロデイ、北朝鮮のLazarus APTが悪用:CVE-2024-38193 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Windowsのゼロデイ、北朝鮮のLazarus APTが悪用:CVE-2024-38193

Threat Report

APT

CISA

Jenkins

Windowsのゼロデイ、北朝鮮のLazarus APTが悪用:CVE-2024-38193

佐々山 Tacos

佐々山 Tacos

2024.08.20

8月20日:サイバーセキュリティ関連ニュース

Windowsのゼロデイ、北朝鮮のLazarus APTが悪用:CVE-2024-38193

SecurityWeek – August 19, 2024

最近修正されたWindowsの脆弱性CVE-2024-38193は、北朝鮮のAPTグループLazarusによって悪用されていたという。Gen Threat Labsの研究者が明かした。この脆弱性は、今年8月のマイクロソフト月例セキュリティ更新プログラムで修正された悪用が確認済みのゼロデイ脆弱性6件のうちの一つ。

CVE-2024-38193は、WinSock用Windows Ancillary Function Driverにおける特権昇格の脆弱性。マイクロソフトのアドバイザリによれば、悪用に成功した攻撃者はSYSTEM権限を取得できるとされる。Genの研究者らは、Lazarusグループがこれを悪用しているのを6月初旬に観測。この悪用により、同グループは機微なシステム領域への不正アクセスを達成していたという。Genの研究者らはまた、セキュリティソフトからの検出を回避する目的で「Fudmodule」と呼ばれる特殊なタイプのマルウェアが使われていたことも報告している。ただ、Genのブログ記事ではそれ以上の詳細は明かされていない。

なお、今月の月例パッチで修正されたゼロデイ脆弱性で「悪用確認済み」のステータスになっている6件のうち、CVE-2024-38178についても、北朝鮮のAPTグループが韓国のターゲットを攻撃する際に悪用されていたと考えられているという。これはWindowsスクリプト エンジンに存在するメモリ破損の脆弱性で、これを悪用して認証済みのクライアントを騙してリンクをクリックさせることに成功すれば、リモートコード実行が実現可能になる。ただ、マイクロソフトはIoCやその他のハンティング作業に役立つようなデータを提供していない。

Jenkins CLIのRCE脆弱性をCISAがKEVカタログに追加、ランサムウェア攻撃での悪用の報告あり:CVE-2024-23897

Security Affairs – August 19, 2024The Record – August 16th, 2024

米CISAが、Jenkinsのコマンドラインインターフェース(CLI)におけるパストラバーサルの脆弱性CVE-2024-23897を、「悪用が確認済みの脆弱性カタログ(KEVカタログ)」に追加。RCEにも繋がり得る重大な脆弱性で、今年1月に修正されているが、同月中に悪用の試みが始まった旨が報告され始めていた。

またJuniper Networksは最近、CVE-2024-23897がインドのテクノロジープロバイダーC-Edge Technologiesに対する7月のランサムウェア攻撃で初期アクセス獲得の手段として悪用されていたことを報告している。C-Edge Technologiesはインド決済公社(NPCI)の委託先であり、NPCIでは一部決済などに影響が生じている旨を発表していた。その後ランサムウェアグループ「RansomEXX」がこの攻撃の犯行声明を出している。

ランサムウェアグループによる悪用だけでなく、武器化されたPoCエクスプロイトがすでに数件出回っているのも懸念材料の一つ。今回CVE-2024-23897がKEVカタログに追加されたことで、米国連邦政府機関には9月9日までの修正パッチ適用が義務付けられた。また民間組織においても、KEVカタログをレビューして自組織のインフラ内に存在する脆弱性に対処することが推奨される。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ