Microsoft は、Windows 共通ログ ファイル システム (CLFS) のゼロデイ脆弱性にパッチを適用しました。CLFS は、サイバー犯罪者によって積極的に悪用され、特権をエスカレートし、Nokoyawa ランサムウェア ペイロードを展開します。
進行中の悪用を考慮して、CISA は本日、CVE-2023-28252 Windows ゼロデイを既知の悪用された脆弱性のカタログに追加し、5 月 2 日までに連邦民間行政機関 (FCEB) 機関にシステムを保護するよう命じました。
CVE-2023-28252として追跡されているこのCLFSセキュリティ欠陥は、Mandiant の Genwei Jiang と DBAPPSecurity の WeBin Lab の Quan Jin によって発見されました。
これは、サポートされているすべての Windows サーバーとクライアントのバージョンに影響を与え、ローカルの攻撃者がユーザーの介入なしに複雑性の低い攻撃で悪用する可能性があります。
悪用に成功すると、攻撃者は SYSTEM 権限を取得し、標的の Windows システムを完全に侵害することができます。
マイクロソフトは、 今月のパッチ チューズデーの一環として、このゼロデイおよびその他の 96 のセキュリティ バグにパッチを適用しました。これには、45 のリモート コード実行の脆弱性が含まれます。
ランサムウェア攻撃に悪用される
Kaspersky の Global Research and Analysis Team (GReAT) のセキュリティ研究者も最近、CVE-2023-28252 の欠陥が Nokoyawa ランサムウェア攻撃で悪用されていることを発見しました。
「Kaspersky の研究者は、中東および北米地域のさまざまな中小企業に属する Microsoft Windows サーバーで同様の権限昇格エクスプロイトを実行しようとする多数の試みを追加でチェックした結果、2 月に脆弱性を発見しました。」同社はプレスリリースで述べた。
「CVE-2023-28252 は、サイバー犯罪者が Nokoyawa ランサムウェアの新しいバージョンを展開しようとした攻撃で、Kaspersky によって最初に発見されました。」
Kaspersky によると、Nokoyawa ランサムウェア ギャングは、2022 年 6 月以降、Common Log File System (CLFS) ドライバーを標的とする他のエクスプロイトを使用しており、類似しているが明確な特徴を備えており、それらすべてを単一のエクスプロイト開発者に関連付けています。
このグループは、さらに少なくとも 5 つの CLFS エクスプロイトを使用して、小売および卸売、エネルギー、製造、ヘルスケア、ソフトウェア開発を含むがこれらに限定されない複数の業界を標的にしています。
レドモンドは、2018 年以降、Windows CLFS ドライバーに少なくとも 32 件のローカル権限昇格の脆弱性にパッチを適用しており、そのうちの 3 件 (CVE-2022-24521、CVE-2022-37969、および CVE-2023-23376) もゼロ脆弱性として悪用されました。 カスペルスキーによると、
「サイバー犯罪グループは、攻撃にゼロデイ エクスプロイトを使用してますます巧妙化しています」と主任セキュリティ研究者の Boris Larin 氏は述べています。
「以前は、主に高度持続型攻撃者 (APT) のツールでしたが、現在、サイバー犯罪者はゼロデイを取得し、日常的に攻撃に使用するためのリソースを持っています。」
ランサムウェアの進化
Nokoyawa ランサムウェアは、2022 年 2 月に 64 ビット Windows ベースのシステムを標的とする二重恐喝攻撃が可能な株として表面化しました。攻撃者は、侵害されたネットワークから機密ファイルを盗み、身代金が支払われない限り、それらをオンラインで漏洩すると脅迫します。
Nokoyawa はJSWorm 、 Karma 、およびNemtyランサムウェアとコードを共有しており、C プログラミング言語を使用して開発された Nokoyawa ランサムウェアの初期バージョンからの切り替えで、2022 年 9 月の時点で Rust で書き直されています。
「Nokoyawa の初期の亜種は、私たちが以前に書いた JSWorm ランサムウェアの亜種を『ブランド変更』しただけです」と Larin 氏は本日のレポートで述べています。
「この攻撃では、サイバー犯罪者は、JSWorm コードベースとはまったく異なる Nokoyawa の新しいバージョンを使用しました。」
Comments