ゼロデイ脆弱性を通じて入り込むトロイの木馬、MysterySnail

当社のセキュリティテクノロジーによって、WindowsのWin32kに存在する未知の脆弱性の悪用が検知されました。

当社のふるまい検知および脆弱性攻撃ブロックのテクノロジーによって、Win32kの脆弱性を悪用する動きが検知されました。この脆弱性(CVE-2021-40449)はMicrosoftへ報告済みであり、Microsoft の10月の月例パッチにて修正されています(リンク先は英語)。Microsoft Windowsのアップデートをできるだけ速やかに適用することをお勧めします。

CVE-2021-40449は何に利用されるのか

CVE-2021-40449は、Win32kのNtGdiResetDC関数に存在する、解放済みメモリ使用(Use-After-Free)の脆弱性です。簡単に説明すると、この脆弱性は、コンピューターメモリ内のカーネルモジュールのアドレスを漏洩させる可能性があります。サイバー犯罪者がこれを利用し、別の悪意あるプロセスの権限を昇格させる恐れがあります。詳しい技術的説明については、当社のSecurelistの記事(英語)をご覧ください。

権限の昇格を通じ、攻撃者は「MysterySnail」というマルウェアをダウンロードして起動します。MysterySnail はRAT(Remote Access TrojanまたはRemote Access Toolの略)であり、攻撃者はこれを通じて感染システムにアクセスできる状態となります。

MysterySnailの機能

MysterySnailは感染先のシステムに関する情報を集めて指令サーバーへ送信し、これを受けて攻撃者は、MysterySnailを通じてさまざまなコマンドを発行できるようになります。こうして、例えば特定のファイルの作成、読み取り、削除が可能となるほか、プロセスの作成または削除、ディレクトリ一覧の入手、プロキシチャネルのオープンとこれを通じたデータ送信が可能になります。

MysterySnailは、このほかにも、接続しているドライブの一覧を参照する機能、外部ドライブの接続をバックグランドでモニタリングする機能などを備えています。また、cmd.exeを別の名前で一時フォルダーにコピーすることで、cmd.exeを起動することもできます。

CVE-2021-40449を通じた攻撃

この脆弱性のエクスプロイトは、Microsoft Windows系のOSをひととおり網羅しています。影響を受けるバージョンは以下のとおりです。

Windows Vista

Windows 7

Windows 8

Windows 8.1

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows 10(ビルド14393)

Windows Server 2016(ビルド14393)

Windows 10(ビルド17763)

Windows Server 2019(ビルド17763)

当社エキスパートは、このエクスプロイトは特にWindows Serverでの権限昇格を目的としていると述べています。

また、このエクスプロイトとMysterySnailがIT企業、外交機関、防衛産業に関わりのある企業に対する複数の諜報活動に広く使用されてきたことが、当社エキスパートの調査で明らかになっています。

さらに、Kaspersky Threat Attribution Engine(KTAE)によって、中国語話者のAPTグループである「IronHusky 」が使用するマルウェアとMysterySnailとの間にコードおよび機能の類似が見つかっています。IronHusky グループは、MysterySnailの指令サーバーアドレスのいくつかを2012年に利用していました。

このエクスプロイトの詳細と脅威存在痕跡(IoC)ほか、攻撃の詳細についてはSecurelistの記事(英語)をご参照ください。

対策

まずは、Microsoftからリリースされている最新のパッチを適用してください。また、今後現れるゼロデイ脆弱性に備え、インターネット接続するコンピューターすべてに、脆弱性の悪用をプロアクティブに検知して阻止するセキュリティソリューションをインストールすることをお勧めします。Kaspersky Endpoint Security for Businessには、CVE-2021-40449を検知したふるまい検知機能および脆弱性攻撃ブロック機能が搭載されています。

ヒント