公開日: Tue, 18 Mar 2025 13:11:24 -0400
記事のジャンル: Security
Original URL: https://www.bleepingcomputer.com/news/security/new-windows-zero-day-exploited-by-11-state-hacking-groups-since-2017/
記事本文(要約)
北朝鮮、イラン、ロシア、中国の少なくとも11の国家支援ハッキンググループが、2017年以来、データ窃盗やサイバースパイのゼロデイ攻撃で新しいWindowsの脆弱性を悪用しています。この脆弱性はZDI-CAN-25373として追跡され、Windowsのショートカットファイル(.lnk)を利用して任意のコードを実行することが可能です。
しかし、Microsoftはこの脆弱性を「サービス基準に達していない」と判断し、セキュリティ更新を出さない意向を示しています。Trend Microの研究者によれば、この脆弱性は世界中で多くの国家支援グループやサイバー犯罪グループによって大規模な攻撃に利用されています。攻撃の主な目的はスパイ活動と情報窃盗であり、マルウェアとしてはUrsnif、Gh0st RAT、Trickbotなどが使用されています。この脆弱性の類似例としてはCVE-2024-43461が挙げられ、こちらはマイクロソフトによってパッチが当てられています。Microsoftは今後この脆弱性への対応を検討する可能性があると述べています。
※この要約はChatGPTを使用して生成されました。
詳細な技術情報
- CVE番号:
- 現時点ではCVE-IDが割り当てられておらず、Trend Microによって内部的にZDI-CAN-25373として追跡されています。
- ### 脆弱性の仕組み:
- ユーザーインターフェースによる重要情報の誤表示(CWE-451)**が原因で、Windowsがショートカットファイル(.lnk)の表示方法を悪用され、ユーザーの認識なしにコードが実行される可能性があります。
- 攻撃者はコマンドライン引数の隠蔽にホワイトスペース(Space, Horizontal Tabなど)を用いており、ユーザーがファイルを調査してもこれらの引数は見えません。
- 攻撃手法:
- 攻撃者は悪意のあるコマンドライン引数を.LNKファイル内に隠蔽し、ユーザーがそれらのファイルを開くことで不正なコードを実行させます。
- ユーザーが悪意のあるページを訪問したり、悪意のあるファイルを開く操作がトリガーとなり、この脆弱性が悪用されます。
- 潜在的な影響:
- 攻撃は主に北米、南米、ヨーロッパ、東アジア、オーストラリアの地域にある組織を標的とし、スパイ活動や情報窃取が目的です。
- 約70%の攻撃がサイバースパイや情報窃取に関連しており、金融目的の攻撃はわずか20%とされています。
- 複数のマルウェアペイロード(Ursnif, Gh0st RAT, Trickbot)が追跡され、MaaSプラットフォームが脅威の複雑化に寄与しているとされています。
- 推奨される対策:
- 1. セキュリティ意識の向上: ユーザーは怪しいリンクや不審なメール添付ファイルを開かないよう強く推奨されます。
- 2. アンチウイルスおよびセキュリティソフトウェアの導入: 最新のセキュリティソフトウェアを使用し、不正な活動を継続的に監視します。
- 3. ネットワーク監視とログの分析: ネットワークトラフィックを監視し、不審な活動を早期に検出します。
- 4. 脆弱性管理: 修正パッチが公開され次第、速やかに適用する準備を整えておくことが重要です。また、Microsoftが今後の対応を考慮しているため、最新のセキュリティ情報の提供状況を注視します。
- 5. エンドポイント検出と対応 (EDR): EDRソリューションを活用し、ポテンシャルな脅威を迅速に特定し対応する体制を整えます。 この状況において、特に重要なのは企業や組織が脅威インテリジェンスを活用して進行中の攻撃手法や脅威アクターの動向に関する情報を常にアップデートし続けることです。
