-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ToddyCatグループがESET製品の脆弱性を悪用し、Windowsのセキュリティを回避(CVE-2024-11859)
ESET製アンチウイルススイートのコンポーネントにおける脆弱性を悪用し、正規のセキュリティソフトウェアの背後で悪意あるツールを実行するというToddyCat APTグループの高度なサイバースパイ技法について、カスペルスキーが報告した。
ToddyCatは長期にわたって活動しているスパイ活動志向のAPTグループで、アジアやヨーロッパの著名組織を標的にすることで知られる。カスペルスキーの研究者は2024年初頭、ToddyCat関連のインシデントを調べる中で、侵害されたデバイス数台に「version.dll」という名称の疑わしいファイルが存在することを発見。分析の結果、このファイルがToddyCatの新たなツールキット「TCESB」の一部であることを突き止めたという。同社はTCESBを、「デバイスにインストールされた保護・モニタリングツールを回避して密かにペイロードを実行できるような設計」の「複雑なツール」であるとしている。
脆弱性CVE-2024-11859の悪用
TCESBを用いた攻撃キャンペーンの特徴は、署名されたESETの実行ファイルを使ってシステムの防御をかわし、セキュリティツールを知らぬ間にマルウェアのホストに変えることに成功している点。ToddyCatはこのキャンペーンで、ESET Endpoint Protectionスイートを構成する正規のCommand Line Scannerコンポーネント(ecls.exe)における脆弱性CVE-2024-11859を悪用するという。
このESET製ツールにはシステムライブラリ「version.dll」を安全でない形でロードする問題があり、ファイルの有無をまずカレントディレクトリでチェックしたのちにシステムディレクトリ内を検索する。攻撃者は、「version.dll」という同じ名前の悪意あるDLLをローカルディレクトリにドロップすることでESETツールのこの挙動を利用し、ESETのスキャナーの信頼されたコンテキストの中でこの悪性DLLをトリガーさせることに成功していた。なお、この脆弱性はESETへ報告され、同社は2025年1月21日にパッチをリリース済み。
DLLプロキシング
上記の悪性DLLはプロキシの役割を果たしており、正規のversion.dllのあらゆる関数をエクスポートするものの、実装はせずにこれらの関数へのコールを正規版のDLLへリダイレクトする。この「DLLプロキシング」のテクニックにより、表面上は信頼されたセキュリティプロセスに見える動きの背後でマルウェアを実行することが可能になるとされる。
TCESB:ToddyCatの新ツールキット
こうしてロードされるTCESBはオープンソースのマルウェアフレームワーク「EDRSandBlast」をベースに、よりステルス性を高めた複雑なツール。その主な働きや特徴としては、以下のようなものが報告されている。
- カーネル通知ルーチンの無効化:Windowsカーネルの構造を変更することで、プロセス作成アラートなどの通知ルーチンを無効化する
- BYOVD手法の利用:カーネル構造の変更を安全かつアラートを発出させることなく実施するため、TCESBは既知の脆弱なドライバーであるDellのDBUtilDrv2.sys(CVE-2021-36276)をデプロイする
- Windowsカーネルバージョン情報の動的な特定を伴う回避戦術:TCESBはカーネルの構造に関するオフセットを含むバンドルされたCSVファイルをチェックするほか、必要な場合はマイクロソフトの公式デバッグシンボルをフェッチして必要なメモリ構造を特定する
同種の攻撃をブロックするには
ESETの製品は全般的に強固なものとして知られているが、今回のインシデントにより、セキュリティツールであっても実装に関する欠陥が存在する場合、特に昇格された権限のもとで動くコンポーネントに欠陥がある場合には攻撃者が悪用可能な手段となり得ることが示されている。この種の攻撃から自組織を保護するため、カスペルスキーは以下のような推奨策を提示した。
- 既知の脆弱なドライバーをブロックする
- マイクロソフトのシンボルサーバーからの予期せぬシンボルのダウンロードがないかモニタリングする
- DLLの全ロードパスを精査し、デジタル署名され、信頼されたバイナリのみが安全なディレクトリからロードされていることを確かめる
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
関連投稿
韓国のハッカー、WPS Officeのゼロデイを悪用してマルウェアを展開(CVE-2024-7262)
29.08.2024
脆弱なMoxa製デバイスにより、産業用ネットワークが攻撃リスクにさらされる(CVE-2024-9138、CVE-2024-9140)
07.01.2025
日本も標的に:中国関連APTが世界的なサイバースパイキャンペーンでIvanti Connect Secure VPNを狙う(CVE-2025-0282、CVE-2025-22457)
15.04.2025
中国ハッカーSalt Typhoon、通信事業者への攻撃で新たなバックドアGhostSpiderを使用
26.11.2024
中国のSalt Typhoon、トップレベルの米高官らの通話を録音していた:ホワイトハウスが報告
10.12.2024
