Kaspersky、Chromeの脆弱性を経由してMicrosoft Windowsの未知の脆弱性を悪用した一連の高度な標的型攻撃を発見
PR TIMES / 2021年6月11日 15時15分
[本リリースは、2021年6月8日にKasperskyが発表したプレスリリースに基づき作成したものです]
---【概要】---
2021年4月中旬、Kasperskyのセキュリティリサーチャーは、Google Chromeと2つのMicrosoft Windowsの脆弱(ぜいじゃく)性を悪用したゼロデイエクスプロイトを使用した、複数企業に対する高度な標的型攻撃を発見しました。Google Chromeのエクスプロイトは、リモートコードを実行するものでした。Microsoft Windowsのゼロデイエクスプロイトは、Windows 10の最新ビルドも対象にした特権昇格のエクスプロイトで、Microsoft Windows OSのカーネルの情報漏えいの脆弱性(CVE-2021-31955)および特権の昇格の脆弱性(CVE-2021-31956)です(2021年6月8日、Microsoftより修正プログラム公開済み)。
https://msrc-blog.microsoft.com/2021/06/08/202106-security-updates/
現段階で、この攻撃と既知の脅威アクターとの関連性を特定できていないため、当社はこの攻撃アクターを「PuzzleMaker」と名付けて注視しています。
---------------
ここ数ヶ月の間、修正プログラムがまだ適用されていないゼロデイ脆弱性を使用した高度なサイバー脅威活動が相次いで確認されています。
https://securelist.com/apt-trends-report-q1-2021/101967/
4月中旬、当社のリサーチャーは、複数の企業に対する、一連のエクスプロイトを使った高度な標的型攻撃を発見しました。攻撃者は、標的となった組織のネットワークを密かに侵害していました。
これらの複数の攻撃はすべて、リモートコードの実行を可能にするエクスプロイトを利用してGoogle Chromeを通じて行われていました。当社のリサーチャーは同エクスプロイトのコードを取得できていませんが、時系列と利用の可能性から、攻撃者はGoogle Chromeの脆弱性(CVE-2021-21224、現在は修正対応済み)を使用したとみています。この脆弱性は、ChromeとChromiumで使用されているJavaScriptエンジン「V8」に含まれる、Type Mismatch(型の取り違え)のバグに関連するものです。これにより、攻撃者はChromeのレンダラープロセス(ブラウザー内での表示動作を処理するプロセス)を悪用することが可能になります。
Microsoft Windowsのエクスプロイトについて当社のリサーチャーが解析した結果、Microsoft Windows OSのカーネルに含まれる2つの異なるゼロデイ脆弱性を使用した特権昇格のエクスプロイトであることが判明しました。
1つ目の脆弱性は、Windowsカーネルの情報漏えい(CVE-2021-31955)です。具体的には、Windows Vistaで導入されたキャッシュメモリを管理するSuperFetch機能に関する脆弱性です。SuperFetchは、使用頻度の高いアプリケーションをあらかじめメモリにロードしておくことで、ソフトウェアのロード時間を短縮することを目的とした機能です。
2つ目の脆弱性は、Windows NTFSファイルシステムに存在するヒープベースのバッファオーバーフロー(CVE-2021-31956)です。攻撃者はこの脆弱性をWindowsの通知機能であるWindows Notification Facility(WNF)と共に使用して、任意の基本データ型メモリ読み取り/書き込みを作成し、システム権限でマルウェアモジュールを実行していました。
攻撃者がChromeとWindowsの両方のエクスプロイトを使用して標的システムに侵入すると、最初のマルウェアモジュールが、リモートサーバーから別の複雑なドロッパーモジュールをダウンロードして実行します。このドロッパーは、Microsoft Windows OSの正規のファイルに見せかけた実行ファイルをインストールします。これがリモートシェルモジュールであり、ファイルのダウンロードやアップロード、プロセスの作成、一定時間のスリープ、感染したシステムから自身の削除など、攻撃の主要な機能を実行することが可能となっていました。
Kasperskyのグローバル調査分析チーム(GReAT)シニアセキュリティリサーチャー Boris Larinは次のように述べています。「これらの攻撃は高度な標的型攻撃ですが、まだ既知の脅威アクターとの関連性を特定できていないため、今後の攻撃活動を注視していきます。ここ最近、ゼロデイ脆弱性を悪用した高度な脅威活動を複数観測しており、ゼロデイ脆弱性が依然として標的を感染させる最も効果的な方法であることを示しています。今回、これらの脆弱性の公表により脆弱性を悪用した攻撃が増加する可能性があります。できるだけ早くMicrosoftが公開している最新のパッチをダウンロードして適用することが非常に重要です」
カスペルスキー製品は、上記のエクスプロイト攻撃や関連するマルウェアモジュールを検知・ブロックします。
当ゼロデイエクスプロイトについては、Securelistブログ(英語)「PuzzleMaker attacks with Chrome zero-day exploit chain」で詳しくご紹介しています。
https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/
■ Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、24万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。
[画像: https://prtimes.jp/i/11471/250/resize/d11471-250-597109-0.jpg ]
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
Kubernetesで不正マイニング、OpenMetadataの脆弱性を突く攻撃発見
マイナビニュース / 2024年4月23日 11時19分
-
チェック・ポイント・リサーチ、2024年3月に最も活発だったマルウェアを発表 Remcosの新たな展開手法を発見、国内ではFormbookが引き続き首位に
PR TIMES / 2024年4月16日 16時15分
-
Windowsのゼロデイ脆弱性、悪用確認済み2件に注意 - アップデートを
マイナビニュース / 2024年4月15日 7時28分
-
Microsoft、2024年4月の月例更新 - 149件の脆弱性への対応が行われる
マイナビニュース / 2024年4月10日 17時55分
-
アカウントを使用した情報窃取マルウェアが増加 - IBMが調査
マイナビニュース / 2024年3月26日 13時12分
ランキング
-
1「大事な大事な退職金2,000万円が“NISA”でみるみる溶けた。」年金月20万円の65歳元サラリーマン、老後計画崩壊で大後悔…「もう、生きていけない」【FPの助言】
THE GOLD ONLINE(ゴールドオンライン) / 2024年4月24日 11時45分
-
2「東大理3受かった子」に共通する"意外な性格" 日本イチ頭いい子供たちはどう勉強している?
東洋経済オンライン / 2024年4月24日 5時40分
-
3わずか2年半で消えた「幻のJR新型特急」とは 裏目に出た高性能
乗りものニュース / 2024年4月24日 9時42分
-
4「世界の猫を喜ばす」会社は、なぜ日本中の嫌われ者となったのか…いなば食品の炎上が止まらない根本原因
プレジデントオンライン / 2024年4月24日 9時15分
-
5IHI、エンジン燃費改ざん 4千台超、80年代からか
共同通信 / 2024年4月24日 23時26分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください