標的型攻撃: Kaspersky は、Windows オペレーティング システムと Internet Explorer でゼロデイ エクスプロイトを検出します。 APT アクターの DarkHotel がエクスプロイトの背後にいる可能性があります。
2020 年の晩春、カスペルスキーの自動検知技術により、韓国企業への標的型攻撃が阻止されました。 Kaspersky の研究者は、この攻撃を詳しく調べたところ、これまで知られていなかった 11 つの脆弱性を発見しました。それは、Internet Explorer 10 で外部コードを実行するエクスプロイトと、現在のバージョンの Windows XNUMX でより高いアクセス権を取得する Elevation of Privileges (EoP) エクスプロイトです。両方のパッチエクスプロイトはすでにリリースされています。
ゼロデイ脆弱性は、これまで知られていなかったソフトウェア バグです。 それらが発見されるまで、攻撃者はそれらを悪意のある活動に密かに使用し、重大な損害を引き起こす可能性があります。
Windows オペレーティング システムでのエクスプロイト
Kaspersky の研究者は、韓国での標的型攻撃を調査中に 2020 つのゼロデイ脆弱性を発見しました。 Internet Explorer の最初の「use-after-free」エクスプロイトは、外部コードをリモートで実行でき、CVE-1380-2020 と指定されています。 ただし、Internet Explorer は隔離された環境で動作するため、攻撃者は感染したデバイスで追加の権限を必要としました。 彼らは、Windows オペレーティング システムの 0986 つ目のエクスプロイトを介してこれを受け取りました。 このエクスプロイトは、プリンター サービスの脆弱性を利用して、任意のコードを実行できるようにしました。 オペレーティング システムのエクスプロイトは、CVE-XNUMX-XNUMX と呼ばれます。
Kaspersky のセキュリティ専門家である Boris Larin は次のように説明しています。 「このような脆弱性の発見に成功すると、ベンダーはパッチをすぐにリリースするよう圧力をかけられ、ユーザーは必要なアップデートをインストールするように強制されます。 発見された攻撃で特に興味深いのは、以前のエクスプロイトが主に高い権限を取得することであったということです。 ただし、このケースには、リモート コード実行機能を備えたエクスプロイトが含まれており、より危険です。 最新の Windows 10 ビルドに影響を与える機能に加えて、検出された攻撃は最近では非常にまれです。 最新のゼロデイ脅威を積極的に検出するために、優れた脅威インテリジェンスと実績のある保護テクノロジに投資する必要があることを思い出してください。」
DarkHotel グループはゼロデイ エクスプロイトの背後にいますか?
Kaspersky の専門家は、DarkHotel グループが攻撃の背後にいるのではないかと疑っています。新しいエクスプロイトは、DarkHotel によって実行された以前の攻撃と特定の類似点があるためです。 Kaspersky Threat Intelligence Portal は、ファイル ハッシュや C&C サーバーを含む、このグループの IoC (Indicators of Compromise) に関する詳細情報を提供します。 Kaspersky ソリューションは、エクスプロイトを PDM:Exploit.Win32.Generic として検出します。
権利関連の脆弱性 CVE-2020-0986 に対するパッチは 9 年 2020 月 2020 日にリリースされ、1380 年 11 月 2020 日には外部コードの実行 (CVE-XNUMX-XNUMX) に対するパッチがリリースされました。
カスペルスキーのセキュリティに関する推奨事項
- Microsoft のパッチは、攻撃者がこれらの発見された脆弱性を悪用できなくなるため、できるだけ早くインストールする必要があります。
- SOC チームは、最新の脅威インテリジェンスにアクセスできる必要があります。 Kaspersky Threat Intelligence Portal は、ワンストップ ショップとして機能します。 Kaspersky が 20 年以上にわたって蓄積してきたサイバー攻撃と洞察に関する広範なデータを提供します。
- Kaspersky Endpoint Detection and Response などの EDR ソリューションは、エンドポイント インシデントの検出、調査、迅速な解決に役立ちます。
- さらに、企業は、Kaspersky Anti Targeted Attack Platform など、複雑な脅威をネットワーク レベルの初期段階で検出するセキュリティ ソリューションを使用する必要があります。
これらの新たに発見されたエクスプロイトに関する詳細情報は、英語のレポートとして入手できます。
詳細については、Kaspersky.com の SecureList を参照してください。
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。