北朝鮮のハッカーがWindowsとmacOSで新たな攻撃手法を使用している。MITREのATT&CKデータベースには、北朝鮮の脅威アクターによって広く悪用されている2つのサブテクニックが今月追加される。一つ目はAppleのmacOSでアプリケーションの権限を規制するセキュリティプロトコルであるTransparency, Consent, and Control (TCC)の操作であり、もう一つは「ファントム」ダイナミックリンクライブラリ(DLL)ハイジャックと呼ばれる、Windowsで参照されているが実際には存在しないDLLファイルを悪用する手法である。
TCC操作により、北朝鮮のAPT(Advanced Persistent Threats)は最近Macを侵害している。TCCはアプリケーションの権限を制御するための重要なフレームワークであり、ユーザーレベルとシステムレベルのデータベースがある。実際には、管理者やセキュリティアプリが適切に機能するためにFull Disk Access (FDA)が必要であり、ユーザーがSystem Integrity Protection (SIP)を回避する場合もある。攻撃者は、SIPがオフになっているか、FDAがオンになっている場合、ユーザーに警告することなくTCCデータベースにアクセスして自分自身に権限を付与する機会を得る。
一方、Windowsでは、存在しないDLLファイルを参照するという奇妙な欠陥がAPAC地域の脅威アクターに悪用されている。これらのいわゆる「ファントム」DLLファイルは、ハッカーにとっては白紙のキャンバスのようなものであり、同じ名前の自分の悪意のあるDLLを作成して同じ場所に書き込むことができれば、オペレーティングシステムによって誰にも知られることなくロードされる。
【ニュース解説】
北朝鮮のハッカーが、WindowsとmacOSのシステムに対して新たな攻撃手法を使用していることが明らかになりました。これらの手法は、MITREのATT&CKデータベースに新たに追加される2つのサブテクニックに関連しています。一つ目は、AppleのmacOSでアプリケーションの権限を規制するセキュリティプロトコルであるTransparency, Consent, and Control (TCC)の操作です。もう一つは、Windowsで参照されているが実際には存在しないDLLファイルを悪用する「ファントム」ダイナミックリンクライブラリ(DLL)ハイジャックという手法です。
TCC操作によって、北朝鮮のAPT(Advanced Persistent Threats)は、macOS環境内で特権アクセスを得ることが可能になります。TCCはアプリケーションの権限を制御するためのフレームワークであり、ユーザーレベルとシステムレベルのデータベースが存在します。しかし、管理者やセキュリティアプリが適切に機能するためにはFull Disk Access (FDA)が必要であり、またユーザーがSystem Integrity Protection (SIP)を回避する場合もあります。このような状況では、攻撃者はTCCデータベースにアクセスし、ユーザーに警告することなく自分自身に権限を付与することができます。
一方、Windows環境では、存在しないDLLファイルを参照するという奇妙な欠陥が悪用されています。これらの「ファントム」DLLファイルは、ハッカーにとって白紙のキャンバスのようなもので、同じ名前の悪意のあるDLLを作成し、同じ場所に書き込むことで、オペレーティングシステムによって誰にも知られずにロードされます。
これらの攻撃手法の発見は、セキュリティコミュニティにとって重要な意味を持ちます。TCC操作とファントムDLLハイジャックは、攻撃者がシステム内で特権アクセスを得るための新たな手段を提供し、これにより機密情報の窃取や追加的な悪意ある活動が可能になります。このような攻撃手法の存在は、macOSとWindowsの両方のユーザーにとって、セキュリティ対策の見直しと強化の必要性を示唆しています。
特に、システムのセキュリティ設定を適切に管理し、不要な権限をアプリケーションに与えないこと、また、システムやアプリケーションのアップデートを常に最新の状態に保つことが重要です。さらに、企業や組織では、不審なアクティビティを検出するための監視システムの導入や、セキュリティ意識の高い文化の醸成が求められます。これらの対策は、北朝鮮を含む様々な脅威アクターによる攻撃からシステムを守るために不可欠です。
from DPRK Exploits 2 MITRE Sub-Techniques: Phantom DLL Hijacking, TCC Abuse.
