Windowsブルスク問題に便乗したマルウェアキャンペーンに要注意：セキュリティニュースアラート

CrowdStrikeは、Windowsホスト向けのアップデート不具合によるブルースクリーン多発問題に便乗したマルウェアキャンペーンが展開されていると発表した。ホットフィックスを装うZIPファイルを配布してマルウェア感染を促す。

[後藤大地，有限会社オングス]

　CrowdStrikeは2024年7月20日（現地時間）、「CrowdStrike Falcon」プラットフォームのエージェントアプリ「Falcon Sensor」のアップデート不具合に端を発した「Windows」の大規模インシデントに便乗したマルウェアキャンペーンが展開されていると警告した。

Windowsブルスク問題に便乗したマルウェアキャンペーンの詳細は？

　CrowdStrikeの脅威インテリジェンスチームは、不具合解消を装う「crowdstrike-hotfix.zip」という名前のZIPアーカイブを配布する脅威アクターを確認した。オンラインマルウェアスキャンサービスにアップロードされており、「HijackLoader」と呼ばれるマルウェアローダーが含まれていることが判明している。このローダーが実行されると「RemCos」と呼ばれるマルウェアに感染することが明らかになっている。

　HijackLoaderは検出を回避することに重点を置いたモジュール式の多段ローダーで、アーカイブ内に含まれているmaidenhair.cfgという名前の設定ファイルを使用して最終的にRemCosマルウェアを実行する。RemCosは遠隔操作型トロイの木馬（RAT）で、サイバー攻撃者の間で人気が高く定期的にセキュリティベンダーに観測されている。

　ZIPアーカイブに含まれている作業手順を記載したファイル名や作業手順の言語がスペイン語で書かれていることから、このキャンペーンはラテンアメリカ地域のCrowdStrike顧客を標的にしている可能性が高いと判断されている。また、このキャンペーンは脅威アクターがCrowdStrikeの問題を利用した最初の事例とされている。

　CrowdStrikeは組織が同社の担当者と正式なチャネルを通じて連絡を取り、サポートチームが提供する技術ガイダンスに従うことを推奨している。またこのキャンペーンを検知できるようにSIEM製品「CrowdStrike Falcon LogScale」のクエリが提供されており、アクティビティーを検出できるようにしている。