Trend Micro の DLL ハイジャック脆弱性が FIX:中国の APT による悪用が生じていた?

Trend Micro fixes bug Chinese hackers exploited for espionage

2022/05/24 BleepingComputer — Trend Micro が発表した内容は、中国の脅威グループが不正な DLL をサイドロードし、マルウェアを展開するために使用した、Trend Micro Security の DLL ハイジャック脆弱性に対するパッチ適用についてである。5月上旬に Sentinel Labs が明らかにしたように、Windows 上で動作するセキュリティ製品の高権限を悪用する攻撃者は、悪意を持って細工した独自の DLL をメモリ上にロードし、権限昇格とコードの実行を可能にしていたようだ。

Trend Micro は、「Moshen Dragon と呼ばれる、中央アジアを拠点とする脅威アクターが、Trend Micro 製品などを含むセキュリティ製品を乗っ取ろうとする、マルウェア・クラスターを展開していたことについて、2022年5月2日に公開された調査結果を認識している」と述べている。

Trend Micro による報告内容と製品群の分析の結果として、コンシューマー向け製品 Trend Micro Security のみが影響を受け、その他の商用/業務用製品は影響を受けていないことが判明した。同社は、「Trend Micro Security (Consumer) については、2022年5月19日に ActiveUpdate (AU) を介して修正プログラムが配布されている。アクティブなインターネット接続を行っているユーザーであれば、現時点で更新プログラムを受け取っていなくても、まもなく受け取ることができる」と付け加えている。

複数のセキュリティ製品で DLL ハイジャックバグが発生

Moshen Dragon グループは、Bitdefender/McAfee/Symantec/Kaspersky のセキュリティ製品においても同様のバグを悪用し、Windows Management Instrumentation (WMI) を介した横移動と、リモートコード実行のために設計された、Python キットである Impacket をインストールしたと伝えられている。また、この Impacket は、ドメイン上のパスワード変更イベントの詳細を取得するための、オープンソースツールを悪用した認証情報の窃取機能を備えている。

Moshen Dragon attack flow
Moshen Dragon attack flow (Sentinel Labs)

Sentinel Labs によると、Moshen Dragon のオペレーターがドロップした最終的なペイロードには、この数年において中国の APT が使用している、2つのバックドア PlugX/ShadowPad の亜種が含まれているようだ。脅威者は、これらの手口を用いて、中央アジアの通信サービス・プロバイダを標的とし、可能な限り多くのシステムから、データを流出させることを最終目的としている。

Trend Micro は、同社のセキュリティ製品に対する、Moshen Dragon による悪用を阻止するために講じた緩和策を、アドバイザリで詳述している。しかし、他のベンダーは、自社製品に対する影響の有無と、脆弱性の修正について、現時点では確認できていない。BleepingComputer は、Bitdefender/McAfee/Symantec/Kaspersky の広報担当者にコメントを求めたが、まだ回答は得られていない。

5月2日15:06 EDT更新:この記事の掲載後において、Bitdefender の Senior Director for Global Public Relations である Steve Fiore は、同社の顧客は DLL Search Order Hijacking 攻撃から保護されており、セキュリティ勧告を発表する必要はないと述べている。

5月3日の「中国の APT グループ Curious Gorge:ロシアの政府/軍事/物流/製造などを狙っている」でも、中国における APT の動きが報道されていましたが、いろんな系統があるようです。そして、この DLL ハイジャックですが、Trend Micro だけではなく、McAfee/Symantec/Kaspersky などでも生じている可能性があるとのことです。

%d bloggers like this: