Larva-24005が確認されています。
これはKimsukyというAPTグループの展開する脅威キャンペーンにつけられた名称です。
内容を確認してみましょう。
- 対象地域
この脅威アクターの活動は新しいものではなく2023年にはすでに確認されていました。
当時の対象地域は、韓国と日本でした。
その後時間の経過とともに対象地域を拡大し、現在では韓国、米国、中国、日本、ドイツ、シンガポール、そして南アフリカ、オランダ、メキシコ、ベトナム、ベルギー、英国、カナダ、タイ、ポーランドなどの国々が対象となっています。 - RDPから開始
この脅威キャンペーンでは、攻撃は公開されたRDPへのアクセスから開始されます。
これまでも多くの脅威キャンペーンでRDPが狙われてきていますが、この脅威キャンペーンもRDPを狙います。- CVE-2019-0708
これはBlueKeepとも呼ばれる脆弱性です。
リモートデスクトップサービスにおける重大なワームバグであり、リモートコード実行を可能にし、認証されていない攻撃者が任意のプログラムをインストールしたり、データにアクセスしたり、完全なユーザー権限を持つ新しいアカウントを作成したりする可能性があります。
しかしCVEの番号からも推測できるように、この脆弱性は2019年にすでにパッチが提供されています。
健全な運用がなされている環境ではこの脆弱性については脅威となりません。
ちなみにこの脆弱性のCVSSスコアは9.8でした。
- CVE-2019-0708
- ツールを展開
前述のRDPの脆弱性を突く、Microsoft Officeの数式エディタの脆弱性(CVE-2017-11882)を悪用する、などして対象システムに侵入した後は、脅威アクターは自分の利用するツールを侵害環境に展開します。- MySpy
システム情報の収集ツールとして使われるマルウェアです。 - RDPEnabler
これもマルウェアです。
このマルウェアの効能により、RDPアクセスを許可します。 - RDPWrap
RDPのコントロール機能を提供するマルウェアです。 - KimaLogger または RandomQuery
これらはキーロガーです。
ユーザが入力したキー情報を収集します。
- MySpy
この脅威キャンペーンは、侵害を許してしまうと侵害後に環境内で横展開されて大規模な被害が出てしまうという内容となっています。
しかし、この脅威キャンペーンの前提とする脆弱性は、修正パッチがすでに提供されているものです。
確実な資産管理と健全なパッチケイデンスの維持で、十分対策できるタイプの脅威といえます。
注意すべき脅威は多数あります。
脆弱性に対策することで防げる脅威は運用でカバーしておき、悩みを減らしていきましょう。
APT Group Profiles – Larva-24005
https://asec.ahnlab.com/en/87554/
| この記事をシェア |
|
|---|
