Microsoft Defenderをバイパスするインターネットショートカットに注意
2024年2月22日(木)16時44分 マイナビニュース
Trend Microはこのほど、「CVE-2024-21412: Water Hydra Targets Traders with Microsoft Defender SmartScreen Zero-Day」において、高度な持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Water Hydra(別名:DarkCasino)」がMicrosoft Defender SmartScreenのゼロデイの脆弱性「CVE-2024-21412」を悪用していると伝えた。
○APTグループ「Water Hydra」とは
Trend Microによると、「Water Hydra」は、2021年に発見された金融業界を標的とする持続的標的型攻撃(APT)グループとされる。世界中の銀行、暗号資産プラットフォーム、外国為替および株取引プラットフォーム、ギャンブルおよびカジノサイトを標的にする。2022年9月の投資家とギャンブルプラットフォームを標的とした「DarkCasino」キャンペーンにおいては、VisualBasicで作成された遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)「DarkMe」が使用されている。
今回確認されたWater Hydraの新しいキャンペーンは2023年12月下旬ごろからTrend Microが追跡を開始。インターネットショートカット(.url)ファイルおよびWebベースの分散オーサリングおよびバージョニング(WebDAV)コンポーネントを悪用するという。
○脆弱性「CVE-2024-21412」の概要
CVE-2024-21412はインターネットショートカット(.url)ファイルを悪用することで、Microsoft Defender SmartScreenをバイパスできる脆弱性。インターネットショートカットからインターネットショートカットを呼び出すだけでバイパスできるとされる。Water Hydraはインターネットショートカットファイルのアイコン(IconFileパラメーター)を画像ファイルのアイコンに変更し、ユーザーに画像ファイルとして誤認させる手法を併用する。
ユーザーは、画像ファイルに見えるこのインターネットショートカットファイルを開くことで、リモートのインターネットショートカットファイルにアクセスする。リモートのインターネットショートカットファイルはリモートのアーカイブに含まれる悪意のあるコマンドを指しており、脆弱性の影響からSmartScreenの警告をバイパスして実行される。その結果システムはDarkMeに感染し、侵害される。
○対策
Microsoftは2月13日(米国時間)、「CVE-2024-21412 - Security Update Guide - Microsoft - Internet Shortcut Files Security Feature Bypass Vulnerability」において、脆弱性「CVE-2024-21412」に対するセキュリティアップデートを公開した。Microsoft Windowsの利用者は、影響の有無を確認してアップデートを実施することが推奨されている。
Trend Microはこのような攻撃を受けて不審な動作に直面した場合は、侵害を想定して速やかにデータやツールチェーンを隔離することを推奨している。また、この調査で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「CVE-2024-21412: Water Hydra Targets Traders with Windows Defender SmartScreen Zero-Day」にて公開しており、必要に応じて活用することが望まれている。
○APTグループ「Water Hydra」とは
Trend Microによると、「Water Hydra」は、2021年に発見された金融業界を標的とする持続的標的型攻撃(APT)グループとされる。世界中の銀行、暗号資産プラットフォーム、外国為替および株取引プラットフォーム、ギャンブルおよびカジノサイトを標的にする。2022年9月の投資家とギャンブルプラットフォームを標的とした「DarkCasino」キャンペーンにおいては、VisualBasicで作成された遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)「DarkMe」が使用されている。
今回確認されたWater Hydraの新しいキャンペーンは2023年12月下旬ごろからTrend Microが追跡を開始。インターネットショートカット(.url)ファイルおよびWebベースの分散オーサリングおよびバージョニング(WebDAV)コンポーネントを悪用するという。
○脆弱性「CVE-2024-21412」の概要
CVE-2024-21412はインターネットショートカット(.url)ファイルを悪用することで、Microsoft Defender SmartScreenをバイパスできる脆弱性。インターネットショートカットからインターネットショートカットを呼び出すだけでバイパスできるとされる。Water Hydraはインターネットショートカットファイルのアイコン(IconFileパラメーター)を画像ファイルのアイコンに変更し、ユーザーに画像ファイルとして誤認させる手法を併用する。
ユーザーは、画像ファイルに見えるこのインターネットショートカットファイルを開くことで、リモートのインターネットショートカットファイルにアクセスする。リモートのインターネットショートカットファイルはリモートのアーカイブに含まれる悪意のあるコマンドを指しており、脆弱性の影響からSmartScreenの警告をバイパスして実行される。その結果システムはDarkMeに感染し、侵害される。
○対策
Microsoftは2月13日(米国時間)、「CVE-2024-21412 - Security Update Guide - Microsoft - Internet Shortcut Files Security Feature Bypass Vulnerability」において、脆弱性「CVE-2024-21412」に対するセキュリティアップデートを公開した。Microsoft Windowsの利用者は、影響の有無を確認してアップデートを実施することが推奨されている。
Trend Microはこのような攻撃を受けて不審な動作に直面した場合は、侵害を想定して速やかにデータやツールチェーンを隔離することを推奨している。また、この調査で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「CVE-2024-21412: Water Hydra Targets Traders with Windows Defender SmartScreen Zero-Day」にて公開しており、必要に応じて活用することが望まれている。
関連記事(外部サイト)
