Windows 11のUEFIセキュアブートをバイパスしてPCを乗っ取る恐るべきマルウェア「BlackLotus」が70万円弱で販売されていることが発覚
UEFIは従来のBIOSに変わるソフトウェアインターフェースの仕様で、OSが起動する前に改ざんされていないかどうかをチェックするセキュアブートというプロトコルが規定されています。サイバーセキュリティ企業・ESETの研究者が、ハッカーが「Windows 11のセキュリティ保護をバイパスしてマルウェアをインストールし、脆弱(ぜいじゃく)なPCを完全に制御できる」とされる「BlackLotus」と呼ばれるブートキットを5000ドル(約68万円)で販売していると報告しました。
BlackLotus UEFI bootkit: Myth confirmed | WeLiveSecurity
https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed/
BlackLotus bootkit can bypass Windows 11 Secure Boot: ESET | CSO Online
https://www.csoonline.com/article/3689160/blacklotus-bootkit-can-bypass-windows-11-secure-boot-eset.html
It's official: BlackLotus malware can bypass secure boot • The Register
https://www.theregister.com/2023/03/01/blacklotus_malware_eset/
Dangerous BlackLotus bootkit can be used to hijack Windows 11 PCs | Tom's Guide
https://www.tomsguide.com/news/dangerous-blacklotus-bootkit-can-be-used-to-hack-even-fully-updated-windows-11-pcs
ESETの研究チームが、BlackLotusと呼ばれるUEFIブートキットが、セキュリティ上重要な機能であるUEFIセキュアブートをバイパスして脆弱なPCを完全に制御できることを発表しました。
#ESETResearch analyze first in-the-wild UEFI bootkit bypassing UEFI Secure Boot even on fully updated Windows 11 systems. Its functionality indicates it is the #BlackLotus UEFI bootkit, for sale on hacking forums since at least Oct 6, 2022. @smolar_m https://t.co/mXSXksRisG 1/11
— ESET Research (@ESETresearch)
UEFIセキュアブートは、システムが信頼できるソフトウェアとファームウェアでのみ起動するように設計されているプロトコルで、OS起動前にマルウェアの実行による感染や不正なOSの読み込みを防止することができますが、BlackLotusはコンピューターの起動プロセスに感染することでこのセキュアブートを無視するマルウェアだとされています。
BluckLotusは2021年12月に発見されたCVE-2022-21894というセキュリティ上の脆弱性を悪用して、UEFIセキュアブートのプロセスをバイパスし、対象のPCに対する永続性を確立します。マイクロソフトは2022年1月にこの脆弱性に対する修正パッチをリリースしましたが、ESETによると影響を受けるバイナリがUEFI失効リストに追加されていないため、依然としてハッカーはこの脆弱性を悪用できるとのこと。
Although the vulnerability was fixed in Microsoft’s January 2022 update, its exploitation is still possible by bringing vulnerable drivers to the system, as the affected binaries have still not been added to the UEFI revocation list. https://t.co/eMAccxVNwM 3/11
— ESET Research (@ESETresearch)
BlackLotusに感染した場合、BitLockerやHVCI、Microsoft DefenderなどのOSにおけるセキュリティ保護機能が無効化されてしまうとされています。
Additionally, BlackLotus can disable built-in Windows security protections such as Hypervisor-protected Code Integrity (HVCI), BitLocker, Windows Defender, and bypass User Account Control (UAC). 7/11 pic.twitter.com/kuPKMMs3uZ
— ESET Research (@ESETresearch)
BlackLotusの主な目的は、コンピューター内に独自のカーネルドライバーを展開し、不正なブートキットを排除しようとするセキュリティ保護機能からカーネルを保護することだと考えられています。また、BlackLotusは特定のユーザーモードやカーネルモードをロードできるHTTPダウンローダーの展開も行います。
Once installed, the bootkit’s main goal is to deploy a kernel driver (which, among other things, protects the bootkit against removal), and an HTTP downloader responsible for communication with the C&C and capable of loading additional user-mode or kernel-mode payloads. 5/11 pic.twitter.com/3zwY703rGj
— ESET Research (@ESETresearch)
ESETによると、BlackLotusはハッカーによって2022年10月頃から5000ドル(約68万円)で販売されており、政府に対するハッキングやスパイ活動に使用される可能性が指摘されています。テクノロジー系ニュースメディア・Tom's Guideは「BlackLotusは確かに危険ですが、通常のハッカーは一般のユーザーに対するマルウェアをすでに数多く保有しています。そのため、BlackLotusは基本的に大企業や政府機関を標的として使用される可能性があります」と述べています。
なおESETは、BlackLotusをはじめとする脅威からOSやPCを保護するために、システムとセキュリティソフトを最新の状態に保つことを推奨しています。
・関連記事
Windowsハードウェア開発者プログラムの認定を受けたドライバーがマルウェアの署名に悪用されていたことが発覚 - GIGAZINE
北朝鮮のサイバー犯罪グループ「APT37」がInternet Explorerのゼロデイ脆弱性を突く攻撃を行っていたと判明 - GIGAZINE
Google検索結果にMicrosoft TeamsやOBSなど有名ソフトに偽装しマルウェアを拡散する広告が表示される事例が急増 - GIGAZINE
「ChatGPTを使ってマルウェアを作成するサービス」をハッカーが販売中 - GIGAZINE
「エルデンリング」「ポケモン」「マインクラフト」などの無料海賊版を装ってブラウザを乗っ取るウイルスが配布されている - GIGAZINE
・関連コンテンツ
