ランサムウェア「Magniber」は、先日発覚した危険な脆弱性:PrintNightmare脆弱性を利用して、韓国のWindowsシステムへの侵入を試みていることがわかりました。
マイクロソフト、新Windows Print Spoolerの脆弱性に関するガイドを公開
セキュリティ企業のCrowdStrike社が発表したレポートによると、この攻撃は少なくとも7月13日から行われているとのことです。
CrowdStrikeは最近、韓国の企業に対してPrintNighmare脆弱性を利用した2017年のランサムウェア「Magniber」と呼ばれるグループに関連する新たな活動を確認しました。
7月13日、CrowdStrikeはPrintNighmare脆弱性を悪用しようとする試みを検知・阻止することに成功し、暗号化が行われる前に顧客を保護しました。
Magniberは、新しい難読化機能、回避戦術、暗号化をより強固にするための暗号化メカニズムを含む活発な開発が行われており、長年にわたって散発的な攻撃を行っていました。また、開発者は、様々な言語チェックを行うことで、感染対象をアジア太平洋地域に限定するために多大な努力を払っているようです。
どのPrintNightmareなのか?
WindowsのPrint Spoolerサービスに存在する複数の異なる脆弱性を総称してPrintNightmareと呼びますが、CrowdStrike社によると攻撃者はCVE-2021-34527を使っているようです。
CVE-2021-34527は、この一連の脆弱性の発端となったPrintNightmareの2つのバグのうちの1つで、現在では約10種類の問題にまで発展しています。
6月上旬にCVE-2021-1675として追跡され、パッチが適用されたと考えられていましたが、研究者は6月下旬にこのバグを悪用するための概念実証コードを公開しました。
Windows PrintNightmareゼロデイ脆弱性の対応方法 :CVE-2021-34527
この概念実証コードは、研究者が別の問題を悪用していることに気づき、数時間のうちに削除されました。
CVE-2021-1675 – Print Spooler サーバにおける特権昇格のバグ
CVE-2021-34527-Print Spooler サーバーでのリモートコード実行
マイクロソフトは、この新しいバグにCVE-2021-34527を割り当て、2週間後の7月6日にパッチを適用しました。
その後、Print Spoolerサービスには、この2つのバグの他にもいくつかの種類が発見されており、今月のパッチチューズデーの翌日に発見され、まだパッチが適用されていないものも含めて、すべてを総称して「PrintNightmare」と呼んでいます。
今のところ、攻撃は韓国に限定されている
複数のセキュリティ専門家は、PrintNightmareが実世界で悪用されること、特にリモートコード実行で悪用されることを予想していましたが、今のところ、攻撃は韓国に限定されているとのことです
2017年末に初めて発見されたランサムウェア「Magniber」は、基本的には韓国でのみ活動しているランサムウェアグループです。
CrowdStrike社は、最近のPrintNightmare攻撃の攻撃チェーンを公開していませんが、Avast社によると、Magniberグループは少なくとも2018年からMagnitudeエクスプロイトキットを使用して攻撃を行っているとのことです。
エクスプロイトキットとは、ブラウザの脆弱性を悪用してユーザーを感染させるために設計されたウェブベースのアプリの総称です。
Comments