記事本文(要約)
中国語話者のハッカーグループ「IronHusky」が、ロシアとモンゴルの政府機関をターゲットにした攻撃を行っており、更新された「MysterySnail」リモートアクセス型トロイの木馬(RAT)を使用しています。カスペルスキーの調査チームGReATが、この攻撃の一環として悪意あるMMCスクリプトを使ってRATマルウェアを展開していることを発見しました。このスクリプトは、Word文書に偽装され、二次ペイロードをダウンロードし、感染したシステムに永続的に残ります。 悪意あるペイロードの一部には、C&C(コマンド&コントロール)サーバーとハッキングされたデバイス間でファイルを転送し、システムを制御するための中間的なバックドアが含まれています。カスペルスキーはこのバックドアにより、「MysterySnail RAT」が感染した機械にサービスとして永続化することが確認できたとし、最近の攻撃では軽量化された「MysteryMonoSnail」に進化していると報告しています。この軽量版は単一のコンポーネントで構成され、数十のコマンドをサポートしています。 このRATの初出は2021年で、当時の攻撃ではWindows Win32kカーネルドライバーの脆弱性(CVE-2021-40449)を利用していました。また、2018年にはMicrosoft Officeの脆弱性(CVE-2017-11882)を利用してRATを拡散しているのが確認されました。Kasperskyの報告書では、IronHuskyの最新攻撃の指標や技術的詳細が公開されています。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 18 Apr 2025 09:43:58 -0400
Original URL: https://www.bleepingcomputer.com/news/security/chinese-hackers-target-russian-govt-with-upgraded-rat-malware/
詳細な技術情報
- CVE番号
- 1. CVE-2021-40449: WindowsのWin32kカーネルドライバーにおける脆弱性。このゼロデイの脆弱性は、IronHuskyによってMysterySnail RATを仕掛けるために利用されました。
- 2. CVE-2017-11882: Microsoft Officeのメモリ破損脆弱性。この脆弱性は、他のRAT(PoisonIvy、PlugXなど)を広めるために過去に活用されています。
- 脆弱性の仕組み
- CVE-2021-40449: Windowsのカーネルレベルでの脆弱性を悪用し、攻撃者が権限を昇格させて、システムの制御を奪うことが可能です。
- CVE-2017-11882: Microsoft Officeの脆弱性を利用し、文書ファイルを悪用した感染を行います。
- 攻撃手法
- 1. 悪意のあるMMCスクリプト: Word文書に偽装されており、標的のシステムで実行されることで、RATの二次ステージペイロードをダウンロードし、持続性を獲得します。
- 2. 間接的なバックドアの使用: これはファイル転送、コマンドシェルの実行、新規プロセスの作成やファイルの削除を可能にします。
- 3. MysteryMonoSnailの展開: MysterySnail RATの軽量化バージョンで、単一のコンポーネントで構成され、攻撃を継続させるために用いられます。
- 潜在的な影響
- 政府および軍事関連の組織は、情報漏洩や機密情報の窃取リスクに直面します。
- システムの完全な制御が奪われ、外部からのコマンド実行やデータ操作が可能となるため、深刻なセキュリティ事故を招く恐れがあります。
- 推奨される対策
- 1. ソフトウェアの更新: CVE-2021-40449およびCVE-2017-11882を含む既知の脆弱性を修正するために、WindowsおよびMicrosoft Office製品の最新のセキュリティパッチを適用すること。
- 2. 攻撃指標の確認: Kasperskyの報告に含まれる侵害指標(IoC)を使用して、ネットワークおよびシステムをモニタリングし、異常なアクティビティを速やかに検出する。
- 3. メールフィルタリングとユーザートレーニング: フィッシングメールや悪意のある添付ファイルを防ぐためのメールフィルタリングを強化し、社員に対するセキュリティ意識向上のトレーニングを実施する。
- 4. アクセス制御と監査: 権限の最小化と定期的なアクセスログの監査を行い、異常なアクセスパターンを識別する。
