Windows

ロシアのハッカーと思われる人物が、最近パッチが適用された Windows の脆弱性を悪用し、ウクライナの企業を標的にした攻撃のゼロデイとして捕まった。

このセキュリティ上の欠陥(CVE-2024-43451)は、ClearSky のセキュリティ研究者によって報告された NTLM ハッシュ開示のなりすましの脆弱性で、この脆弱性を悪用することで、ログインしているユーザーの NTLMv2 ハッシュを、リモートの攻撃者が管理するサーバーに強制的に接続させることで盗み出すことができます。

ClearSky は、6 月にこのキャンペーンを悪用したフィッシングメールを観測し、このキャンペーンを発見しました。これらのメールには、カミアネッツ・ポディルスキー市議会の教育科学部に属する、以前に侵害されたサーバ(osvita-kp.gov[.]ua)上でホストされているインターネットショートカットファイルをダウンロードするハイパーリンクが含まれていました。

「ユーザが URL ファイルを右クリック、削除、移動するなどの操作を行うと、脆弱性がトリガーされます

この場合、リモート・サーバーへの接続が作成され、マルウェアのペイロードがダウンロードされます。このマルウェアには、攻撃者が侵害されたシステムをリモートで制御することを可能にする、オープンソースでマルチプラットフォームのリモート・アクセス・ツールSparkRATが含まれます。

このインシデントを調査している間に、研究者は、サーバー・メッセージ・ブロック(SMB)プロトコルを介して NTLM ハッシュを盗もうとする試みについても警告を受けた。これらのパスワードハッシュは、「パスザハッシュ」攻撃で使用されたり、ユーザの平文パスワードを取得するためにクラックされたりする可能性があります。

ClearSkyはこの情報をウクライナのコンピュータ緊急対応チーム(CERT-UA)と共有し、CERT-UAはこの攻撃をロシア人と思われる脅威グループのハッカーに関連付け、UAC-0194として追跡しました。

Attack flow
攻撃の流れ(ClearSky)

昨日、マイクロソフトは11月2024日のパッチ・チューズデーの一環としてこの脆弱性にパッチを当て、ClearSkyの調査結果を確認した。

「この脆弱性は、ユーザの NTLMv2 ハッシュを攻撃者に公開し、攻撃者はこれを使用してユーザとして認証することができる。

「ユーザが悪意のあるファイルを選択(シングルクリック)したり、検査(右クリック)したり、開いたり実行したりする以外のアクションを実行するなど、最小限の操作を行うだけで、この脆弱性が引き起こされる可能性がある。

同社によると、CVE-2024-43451は、Windows 10以降やWindows Server 2008以降を含む、サポートされているすべてのWindowsバージョンに影響を及ぼすという。

CISAも火曜日、この脆弱性をKnown Exploited Vulnerabilities Catalogに 追加し、Binding Operational Directive (BOD) 22-01で義務付けられている通り、12月3日までにネットワーク上の脆弱なシステムを保護するよう命じた。

「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府企業にとって重大なリスクとなる」とサイバーセキュリティ機関は警告している。