DarkMe マルウェア
最近明らかになった Microsoft Defender SmartScreen のセキュリティ脆弱性は、Water Hydra (DarkCasino とも呼ばれる) として知られる高度な持続的脅威グループによるゼロデイ エクスプロイトとして利用されています。この攻撃の主なターゲットは、金融市場取引に関与する個人です。研究者らは、2023 年 12 月にこの悪意のあるキャンペーンを発見しました。
攻撃者は、インターネット ショートカット ファイル (.URL) に関連するセキュリティ バイパスの脆弱性である CVE-2024-21412 を利用しています。一連の攻撃では、脅威アクターは CVE-2024-21412 を利用して Microsoft Defender SmartScreen を回避し、DarkMe マルウェアを導入して疑いを持たない被害者に感染させます。
その後、Microsoft は 2 月のパッチ火曜日アップデートでこの脆弱性に対処しました。同社によると、認証されていないハッカーがこの欠陥を利用して、特別に細工したファイルを標的のユーザーに送信し、セキュリティチェックを回避できる可能性があるという。ただし、悪用が成功するかどうかは、攻撃者が被害者にファイル リンクをクリックして、攻撃者が制御するコンテンツを表示させるように仕向けるかどうかにかかっています。
DarkMe マルウェアは多段階の攻撃チェーンを介して展開されます
DarkMe は、追加の命令をダウンロードして実行するだけでなく、コマンド アンド コントロール (C2) サーバーに自身を登録し、侵害されたシステムから情報を収集する機能も示します。
観察された感染プロセスでは、CVE-2024-21412 のエクスプロイトが有害なインストーラー ファイル (「7z.msi」) を展開するために使用されます。これは、外国為替取引フォーラムを通じて広められたブービートラップ URL (「fxbulls.ru」) をクリックするように被害者を誘導することで実現されます。このルアーは、株価チャートの画像へのリンクを共有するという名目で表示されます。ただし、リンクの実際のコンテンツはインターネット ショートカット ファイル (「photo_2023-12-29.jpg.url」) です。
「fxbulls.ru」のランディング ページには、慎重に作成されたフィルタリングされたビューを備えた脅威的な WebDAV 共有へのリンクが掲載されています。ユーザーがこのリンクをクリックすると、ブラウザは Windows エクスプローラーでリンクを開くように求めるメッセージを表示します。特に、これはセキュリティ プロンプトをトリガーしないため、ユーザーがリンクの危険な性質を見落とす可能性があります。
このスキームの注目すべき点は、Windows 上のデスクトップ検索アプリケーションを呼び出すために一般的に使用される検索アプリケーション プロトコルを攻撃者が悪用していることです。このプロトコルは、過去にマルウェアを配信するために悪用されたことがあります。攻撃者がこのプロトコルを巧妙に操作すると、感染プロセスにさらなる欺瞞層が追加されます。
APT (Advanced Persistent Threat) グループはゼロデイ脆弱性を悪用することが多い
DarkMe 感染チェーンで使用される参照に対するこの独特のアプローチは、別のショートカット内のショートカットの利用から生じており、SmartScreen を回避するのに効果的であることが証明されています。この場合、SmartScreen は、信頼できないソースからのファイルを開いたり実行したりするときにユーザーに警告するように設計された重要な Windows コンポーネントである Web のマーク (MotW) を適切に適用できません。
このキャンペーンの最終的な目的は、DarkMe として知られる Visual Basic のトロイの木馬をバックグラウンドで密かに配信することです。同時に、このキャンペーンは被害者に株価グラフを表示することで欺瞞的な外観を維持し、悪用と感染の連鎖の本当の性質を隠蔽します。
新たに発見されたゼロデイ脆弱性は、サイバー犯罪グループによって特定されることが多く、国家規模のハッキンググループの武器庫に侵入する可能性があることは注目に値します。 Water Hydra などの高度な攻撃者は、高度なキャンペーンでゼロデイ脆弱性を発見して悪用するために必要な技術的専門知識とツールを備えています。これにより、DarkMe のような非常に破壊的なマルウェアを展開することが可能になり、複雑で強力な攻撃を実行する能力が実証されます。
