脆弱性
カスペルスキーのリサーチャー、ボリス・ラーキンとマート・デガメンチは、Windowsの新たなゼロデイ脆弱性(CVE-2024-30051)を発見しました。これは、2024年4月上旬にWindows DWMコアライブラリに関する特権昇格の脆弱性(CVE-2023-36033)について調べていた際に発見されました。パッチは2024年5月14日、マイクロソフトの最新のセキュリティパッチの一部としてリリースされています。
2024年4月1日、当社のリサーチャーは、Googleが運営する無料ツール「VirusTotal(ウイルストータル)」にアップロードされた一つの文書に目が留まりました。VirusTotalは、疑わしいファイルやURLを分析し、マルウェアや悪意のあるコンテンツの種類を検出するウェブサイトです。説明的なファイル名を持つこの文書は、Windows OSの脆弱性の可能性を示唆していました。スペルや文法に誤りがある英語で、しかも脆弱性をトリガーする方法の詳細が書かれていないにもかかわらず、その文書には、別の脆弱性、CVE-2023-36033のゼロデイエクスプロイトと同様のエクスプロイテーションプロセスが記述されていました。当社の調査チームは、この脆弱性が架空のものか、あるいは悪用不可能なものであることを疑い、調査を進めました。調べ始めて間もなく、この脆弱性はシステム特権をエスカレートさせることができる本物のゼロデイ脆弱性であることが判明しました。
当社は直ちにマイクロソフト社に報告し、マイクロソフト社は、この脆弱性を検証、識別子CVE-2024-30051を割り当てました。
この報告を受け、当社は、このゼロデイ脆弱性を利用したエクスプロイトや攻撃の監視を開始しました。当社のリサーチャーは、4月中旬までに、CVE-2024-30051のエクスプロイトを検出し、バンキング型トロイの木馬「QakBot(別名Qbot)」やその他のマルウェアと組み合わせて使用されていることを確認しました。
脆弱性CVE-2024-30051 については、多くのユーザーが Windows システムをアップデートするのに十分な時間が経過した時点で、技術的な詳細を公開する予定です。
この発見に伴い、当社の製品もアップデートされ、CVE-2024-30051および関連するマルウェアの悪用を検知・ブロックしています。
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
- Win32.Agent.gen
- Win32.CobaltStrike.gen
当社は2007 年の発見以来、巧妙なバンキング型トロイの木馬であるQakBotを追跡、調査してきました。QakBot は、元々オンラインバンキングの口座やクレジットカードの認証情報を窃取するために設計されましたが、最近では電子メールのパスワードやログイン情報窃取、キーロギング、自己拡散およびランサムウェアのインストール機能などの新たな機能を追加し、さらに進化しています。このマルウェアは頻繁にアップデートを繰り返し機能を追加することで知られており、サイバーセキュリティの世界では危険な脅威となっています。近年、QakBot は、Emotet などの他のボットネットを利用していることが確認されています。
ヒント