記事本文(要約)
サイバーセキュリティ研究者は、北朝鮮の国家支援による脅威グループ「Kimsuky」に関連する新たな悪意あるキャンペーン「Larva-24005」を報告しました。このキャンペーンは、Microsoftリモートデスクトップサービスのすでに修正済みの脆弱性を悪用して初期アクセスを得ようとします。
特に、CVE-2019-0708(CVSSスコア:9.8)という、リモートコード実行が可能な重大な脆弱性を利用してアクセスを試みます。また、フィッシングメールを使ってCVE-2017-11882(CVSSスコア:7.8)という別の脆弱性を悪用することもあります。
攻撃が成功すると、攻撃者はマルウェア「MySpy」や「RDPWrap」をインストールし、システム設定を変更してRDPアクセスを可能にします。最終的には「KimaLogger」や「RandomQuery」などのキーロガーを展開し、キーストロークを捕捉します。この活動は、主に韓国と日本におけるソフトウェア、エネルギー、金融業界を標的にしており、他にもアメリカ、中国、ドイツ、シンガポール、南アフリカなどが攻撃対象となっています。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 21 Apr 2025 22:12:00 +0530
Original URL: https://thehackernews.com/2025/04/kimsuky-exploits-bluekeep-rdp.html
詳細な技術情報
- 脆弱性とCVE番号 このキャンペーンで利用された脆弱性には、次のものがあります。
- CVE-2019-0708 (BlueKeep)
- CVSSスコア: 9.8
- 仕組み: リモートデスクトップサービス(RDS)に存在するクリティカルな欠陥。未認証の攻撃者がリモートでコードを実行することが可能になる。
- 攻撃手法: 攻撃者は特別に構築されたリクエストをRDSに送信することで、システムへの不正アクセスを試みる。
- 影響: 恣意的なプログラムのインストール、データへのアクセス、新規アカウントの作成が可能となり、システムの完全な乗っ取りが可能。
- CVE-2017-11882
- CVSSスコア: 7.8
- 仕組み: マイクロソフトのEquation Editorで発生するリモートコード実行の脆弱性。古いバージョンのOfficeが影響を受ける。
- 攻撃手法: 特別に作成されたファイルを含むフィッシングメールによって引き起こされる。
- 影響: 攻撃者がコードを実行することにより、悪意のあるソフトウェアのインストールや情報の窃取が可能。
- CVE-2019-0708 (BlueKeep)
- 攻撃手法
- 攻撃者は、まずRDPの脆弱性あるいはフィッシングメールを通じて初期アクセスを取得します。
- 初期アクセス取得後、攻撃者はドロッパーを使用してMySpyというマルウェアをインストールし、さらにRDPアクセスを許可するためのRDPWrapツールを使用します。
- これにより、攻撃者はシステム設定を変更してRDPのアクセスを容易にします。
- 攻撃の最終段階では、キーロガー(KimaLoggerやRandomQuery)を展開し、キーボード入力を記録します。
- 潜在的な影響
- 情報漏洩: システム情報の収集により、機密性の高いデータが外部に流出する可能性があります。
- システム侵害: 攻撃者によるシステム操作や悪意のあるコードの実行。
- 業務妨害: システム設定の変更やマルウェアの活動により、業務運用に影響を与える可能性がある。
- 推奨される対策
- 1. パッチ適用: CVE-2019-0708及びCVE-2017-11882のパッチを適切に適用する。
- 2. フィッシング対策: フィッシングメールに対する従業員の教育を強化し、メールフィルタリングを導入。
- 3. ネットワークセグメンテーション: 重要なシステムはネットワークから隔離し、外部アクセスを制限。
- 4. 監視とログ分析: 不審な動きを検出するために、常時監視ソフトウェアを使用し、ログを分析。
- 5. 多要素認証の実施: RDPアクセスを含むリモートアクセスには多要素認証を適用。
- 6. バックアップの実施: 定期的にデータのバックアップを取り、災害復旧を計画する。
