記事本文(要約)
中国語を話すToddyCatというAPTグループが、ESETのアンチウイルスソフトウェアの脆弱性(CVE-2024-11859)を悪用して、侵入したデバイスでマルウェアを密かに実行しています。この脆弱性は、DLL検索順序のハイジャックの問題であり、攻撃者が悪意あるDLLを読み込むのを許可します。カスペルスキーは、この問題がESETのコマンドラインスキャナが標準のシステムディレクトリではなく、カレントディレクトリからversion.dllを読み込むことに起因するとしています。ToddyCatは、解析回避のため、独自のマルウェアを使用し、特定のフォルダに悪意あるDLLを配置することで、この脆弱性を利用してマルウェアペイロードを実行していました。また、Dellの既知の脆弱なドライバー(CVE-2021-36276)も使用し、カーネルレベルでの動作を隠しています。このような活動を検出するため、既知の脆弱性のあるドライバのインストールイベントや、非期待されるカーネルデバッグシンボルのロードイベントを監視することが推奨されます。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 07 Apr 2025 20:43:35 GMT
Original URL: https://www.darkreading.com/vulnerabilities-threats/toddycat-apt-eset-bug-silent-malware
詳細な技術情報
- CVE番号
- CVE-2024-11859: ESETのアンチウイルスソフトウェアに関連するDLLハイジャッキングの脆弱性。
- CVE-2021-36276: Dellの脆弱なドライバを使用してカーネルレベルで活動を行う際に利用される既知の脆弱性。
- 脆弱性の仕組み
- DLL検索順序のハイジャッキング(CVE-2024-11859): ソフトウェアが必要とするDLLを不適切な順序で検索することにより、攻撃者が信頼されていないディレクトリから悪意のあるDLLを読み込ませることが可能になる脆弱性。この例では、ESETのアンチウイルスがシステムディレクトリではなく、カレントディレクトリからDLLを読み込んでしまう。
- 攻撃手法
- DLLハイジャッキング: ToddyCatは悪意のあるDLL(不正なversion.dll)を特定のフォルダに置き、ESETのアンチウイルスソフトウェアがこれを読み込むように仕掛ける。
- 既存の脆弱なドライバの悪用(CVE-2021-36276): 脆弱なDellのドライバを使用し、カーネルレベルでの不正な操作を行い、気付かれずにシステムを操作する。
- 潜在的な影響
- 攻撃者によって任意のコードが実行され、情報の漏洩、システムの乗っ取り、セキュリティ機能の無効化などが行われる可能性がある。
- TCESBマルウェアにより、セキュリティ警告や通知が無効化され、Windowsカーネルレベルでの不正な操作が実行されるリスクがある。
- 推奨される対策
- 1. パッチの適用: ESETは2024年1月に該当の脆弱性に対するパッチをリリースしたため、速やかに適用する。
- 2. セキュリティ監視強化:
- ドライバのインストールイベントや、脆弱なドライバの利用をモニタリング。
- システムでロードされるDLLファイルのデジタル署名を確認し、正当性を確認する。
- Windowsカーネルデバッグシンボルのロードイベントを監視し、不審な動作を検出する。
- 3. セキュリティソフトウェアの使用: 信頼できるセキュリティソフトウェアを利用し、定期的なスキャンを実施する。
- 4. 教育と訓練: 組織内のスタッフに対し、最新のサイバーセキュリティの脅威とその防御手法についての教育を行い、意識を高める。
