2020年5月、Kasperskyは、ある韓国企業への標的型攻撃を検知、防御しました。調査の結果、二つのゼロデイエクスプロイトで構成される、未知の一連の手法が取られていたことが判明しました。
[本リリースは、2020年8月12日にKasperskyが発表したプレスリリースに基づき作成したものです]
2020年5月、Kasperskyの自動検知テクノロジーが、ある韓国企業への標的型攻撃を検知、防御しました。詳細な調査の結果、この攻撃は二つのゼロデイエクスプロイトで構成される、未知の一連の手法が取られていたことが判明しました。一つはInternet Explorer 11のリモートコード実行のエクスプロイト、もう一つはWindowsの特権昇格のエクスプロイトで、Windows 10の最新バージョンを標的としていました。
ゼロデイ脆弱性とは、ベンダーまだパッチを提供していないソフトウェアのバグを指します。ひとたび発見されると、攻撃者が悪用しエクスプロイトを作成して攻撃活動を密かに行えるようになり、深刻で予期せぬ被害をもたらす可能性があります。
Kasperskyのリサーチャーが韓国企業を狙った標的型攻撃を調査する中で、二つのゼロデイエクスプロイトを発見しました。一つ目は、Internet Explorer 11のUse-After-Free(解放済みメモリー使用)つまり、リモートでコードが実行される脆弱性を悪用していました。(CVE識別番号CVE-2020-1380、2020年8月11日パッチ公開済み)
しかしながらInternet Explorerは分離された環境で動作するため、サイバー攻撃者は感染マシン上で高い権限を持つことが不可欠です。そこで必要となったのが、Windowsのプリンターサービスの脆弱性を突く二つ目のエクスプロイトです。(CVE-2020-0986、2020年6月9日パッチ公開済み)
これで攻撃者は感染マシン上で任意のコードを実行することができるようになりました。
Kasperskyのセキュリティエキスパート ボリス・ラリン(Boris Larin)は次のように述べています。「ゼロデイ脆弱性を突いた攻撃は、サイバーセキュリティのコミュニティにとって常に大きなニュースとなります。脆弱性をうまく発見すれば、即座にベンダーに対する強制力が働き、修正プログラムを発行して利用ユーザーに必要な全てのアップデートの実行を促せます。これまで当社が発見してきたエクスプロイトは主に権限昇格に関するものでしたが、今回発見した攻撃で特に興味深いのは、それよりも危険なリモートコード実行機能を持つエクスプロイトが含まれていたことです。Windows 10の最新ビルドへの影響力と相まって、発見した攻撃は最近では非常にまれなものです。この手口から再度気付かされるのは、最新のゼロデイ脅威を積極的に検知できるように、優れた脅威インテリジェンスと実績のある保護技術に投資すべきだということです」
当社のリサーチャーは、今回の新しいエクスプロイトと過去に発見したエクスプロイトの類似性から、既知のサイバー攻撃活動「DarkHotel」との関連を調査しています。
カスペルスキー製品は、これらのエクスプロイトをPDM:Exploit.Win32.Genericの検知名で検知します。
今回発見した新しいエクスプロイトの詳細は、Securelistブログ(英語)「Internet Explorer and Windows zero-day exploits used in Operation PowerFall」をご覧ください。
