2024年1月中旬に観測されたDarkGateマルウェアキャンペーンは、最近修正されたMicrosoft Windowsのセキュリティ欠陥をゼロデイ攻撃で利用し、偽のソフトウェアインストーラーを使用した。Trend Microによると、このキャンペーンでは、PDFを通じてユーザーを誘い、Google DoubleClick Digital Marketing (DDM)のオープンリダイレクトを含むPDFが、疑いもなく被害者を悪意のあるサイトに誘導し、Microsoft Windows SmartScreenを回避するCVE-2024-21412を利用して悪意のあるMicrosoft (.MSI)インストーラーに導いた。CVE-2024-21412(CVSSスコア:8.1)は、認証されていない攻撃者が特別に作成されたファイルをクリックすることでSmartScreenの保護を回避できるインターネットショートカットファイルのセキュリティ機能バイパスの脆弱性に関するもので、2024年2月のPatch Tuesdayアップデートの一部としてMicrosoftによって修正された。しかし、それが修正される前に、Water Hydra(別名DarkCasino)と呼ばれる脅威アクターによって、金融機関を狙った攻撃でDarkMeマルウェアを配布するために悪用された。
Trend Microの最新の調査結果によると、この脆弱性は以前考えられていたよりも広範囲に悪用されており、DarkGateキャンペーンではGoogle広告のオープンリダイレクトと組み合わせてマルウェアを拡散している。この複雑な攻撃チェーンは、フィッシングメールで送信されたPDF添付ファイル内のリンクをクリックすることから始まり、Googleのdoubleclick[.]netドメインからのオープンリダイレクトを使用して、CVE-2024-21412を悪用する悪意のある.URLインターネットショートカットファイルをホストする侵害されたWebサーバーに被害者を誘導する。具体的には、オープンリダイレクトは、Apple iTunes、Notion、NVIDIAなどの正規のソフトウェアに偽装した偽のMicrosoftソフトウェアインストーラー(.MSI)を配布するように設計されており、これらはサイドロードされたDLLファイルを備えており、それによってユーザーはDarkGate(バージョン6.1.7)に感染する。
また、Windows SmartScreenの別の修正済みバイパス脆弱性(CVE-2023-36025、CVSSスコア:8.8)が過去数ヶ月にわたって、DarkGate、Phemedrone Stealer、およびMispaduを配布するために脅威アクターによって使用されている。Google広告技術の悪用により、脅威アクターは異なる広告キャンペーンを通じて攻撃のリーチと規模を拡大することができる。
【ニュース解説】
2024年1月中旬に発見されたDarkGateマルウェアキャンペーンは、Microsoft Windowsの最近修正されたセキュリティ脆弱性を悪用するゼロデイ攻撃を行いました。この攻撃では、偽のソフトウェアインストーラーが使用され、特にCVE-2024-21412という脆弱性が標的にされました。この脆弱性は、インターネットショートカットファイルのセキュリティ機能をバイパスし、未認証の攻撃者がSmartScreenの保護を回避することを可能にします。
攻撃の手法としては、フィッシングメールに添付されたPDF内のリンクをクリックさせることで、GoogleのDoubleClickを介したオープンリダイレクトを利用し、被害者を悪意のある.URLインターネットショートカットファイルがホストされているサイトに誘導します。このショートカットファイルは、CVE-2024-21412を悪用して、Apple iTunesやNotion、NVIDIAなどの正規のソフトウェアに偽装した偽のMicrosoftソフトウェアインストーラー(.MSI)をダウンロードさせ、最終的にDarkGateマルウェアに感染させます。
この攻撃キャンペーンの特徴は、Google広告の技術を悪用して、より広範囲にわたる被害者を狙う点にあります。オープンリダイレクトと偽のソフトウェアインストーラーの組み合わせは、多くの感染を引き起こす可能性があり、ユーザーに対しては、公式のチャネル以外からソフトウェアインストーラーを信用しないよう警告しています。
この種の攻撃は、セキュリティ対策の重要性を改めて浮き彫りにします。特に、最新のセキュリティパッチの適用、フィッシングメールに対する警戒、そして信頼できるソースからのみソフトウェアをダウンロードするといった基本的なセキュリティ対策が求められます。また、企業や組織では、従業員へのセキュリティ教育を強化し、不審なメールやリンクに対する認識を高めることが重要です。
長期的な視点では、このような攻撃の増加は、セキュリティ技術の進化とともに、攻撃手法も進化していることを示しています。そのため、セキュリティ業界は常に新たな脅威に対応するための研究と開発を進める必要があります。また、ソフトウェア開発者やプラットフォーム提供者にとっても、セキュリティを最優先事項として取り組むことが求められるでしょう。
from DarkGate Malware Exploits Recently Patched Microsoft Flaw in Zero-Day Attack.
