Windowsのゼロデイ脆弱性が北朝鮮に悪用されてマルウェアをインストールする高度なルートキットが開発されていた

Windowsのゼロデイ脆弱(ぜいじゃく)性が北朝鮮で活動するハッカーによって悪用され、極めてステルス性の高い高度なマルウェアが実際にユーザーへインストールされていたことが明らかになりました。

Gen Blogs | Safeguarding Digital Freedom: How a Gen Discovery Helped to Protect Windows Users Everywhere
https://www.gendigital.com/blog/news/innovation/protecting-windows-users

Windows 0-day was exploited by North Korea to install advanced rootkit | Ars Technica
https://arstechnica.com/security/2024/08/windows-0-day-was-exploited-by-north-korea-to-install-advanced-rootkit/

問題の脆弱性はCVE-2024-38193で、Microsoftは「WinSock用Windows Ancillary Function Driverの特権の昇格の脆弱性」と説明しています。Microsoftによると、攻撃者がこの脆弱性の悪用に成功するとシステム権限を取得することが可能とのこと。Microsoftは既にパッチを適用済みですが、悪用された形跡が確認されています。

Microsoftは脆弱性が活発に悪用されていることを警告していましたが、攻撃の背後にいる人物や最終的な目的についての詳細は明らかにしていませんでした。ところが、セキュリティ企業・Genの研究者により、攻撃が北朝鮮に拠点を置く犯罪者グループ「Lazarus」の一員であることが明らかになりました。

Genによると、LazarusはAFD.sysドライバーと呼ばれる「Windowsの重要な部分に隠されたセキュリティ上の欠陥」を悪用していて、この欠陥により攻撃者は通常のセキュリティ制限を回避し、ほとんどのユーザーや管理者がアクセスできない機密システム領域にアクセスすることができたそうです。

攻撃の目的は、仮想通貨エンジニアリングや航空宇宙分野で働く人々など機密性の高い分野の個人をターゲットにして、雇用主のネットワークにアクセスし、攻撃者の活動資金となる仮想通貨を盗むことだったとGenは指摘しています。Genの研究者は「この種の攻撃は巧妙かつ機知に富んでおり、闇市場で数十万ドル(数百万円)の被害を出す可能性があります」と述べました。

調査によると、Lazarusは「ルートキット」として知られるマルウェアの一種「FudModule」をインストールさせるために脆弱性を悪用していたとのこと。FudModuleはWindowsの機密領域で動作する能力に優れ、内部および外部のセキュリティ防御による監視を無効にすることが可能なものだとされています。

LazarusはWindowsにプリインストールされている「Windows AppLocker」を有効にするドライバ「appid.sys」のバグを悪用して、FudModuleの亜種をインストールしました。セキュリティ企業・Avastによると、これらの攻撃で悪用されたWindowsの脆弱性は、サードパーティのソースからインストールする必要がなくOSに直接組み込まれているため、ハッカーにとっては「聖杯のようなもの」だとのことです。

今回の脆弱性は2024年初めにAvastが非公開でMicrosoftへ報告し、修正に6ヶ月を要しました。