Windowsブルスク問題に便乗したマルウェアキャンペーンに要注意:セキュリティニュースアラート
CrowdStrikeは、Windowsホスト向けのアップデート不具合によるブルースクリーン多発問題に便乗したマルウェアキャンペーンが展開されていると発表した。ホットフィックスを装うZIPファイルを配布してマルウェア感染を促す。
CrowdStrikeは2024年7月20日(現地時間)、「CrowdStrike Falcon」プラットフォームのエージェントアプリ「Falcon Sensor」のアップデート不具合に端を発した「Windows」の大規模インシデントに便乗したマルウェアキャンペーンが展開されていると警告した。
Windowsブルスク問題に便乗したマルウェアキャンペーンの詳細は?
CrowdStrikeの脅威インテリジェンスチームは、不具合解消を装う「crowdstrike-hotfix.zip」という名前のZIPアーカイブを配布する脅威アクターを確認した。オンラインマルウェアスキャンサービスにアップロードされており、「HijackLoader」と呼ばれるマルウェアローダーが含まれていることが判明している。このローダーが実行されると「RemCos」と呼ばれるマルウェアに感染することが明らかになっている。
HijackLoaderは検出を回避することに重点を置いたモジュール式の多段ローダーで、アーカイブ内に含まれているmaidenhair.cfgという名前の設定ファイルを使用して最終的にRemCosマルウェアを実行する。RemCosは遠隔操作型トロイの木馬(RAT)で、サイバー攻撃者の間で人気が高く定期的にセキュリティベンダーに観測されている。
ZIPアーカイブに含まれている作業手順を記載したファイル名や作業手順の言語がスペイン語で書かれていることから、このキャンペーンはラテンアメリカ地域のCrowdStrike顧客を標的にしている可能性が高いと判断されている。また、このキャンペーンは脅威アクターがCrowdStrikeの問題を利用した最初の事例とされている。
CrowdStrikeは組織が同社の担当者と正式なチャネルを通じて連絡を取り、サポートチームが提供する技術ガイダンスに従うことを推奨している。またこのキャンペーンを検知できるようにSIEM製品「CrowdStrike Falcon LogScale」のクエリが提供されており、アクティビティーを検出できるようにしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
世界規模で起きたWindowsブルスク問題 MicrosoftとCrowdStrikeが支援策公表
2024年7月19日に全世界的に「Windows」のPCでブルースクリーンが表示される大規模障害が発生した件について、MicrosoftとCrowdstrikeがインシデントの原因や対応策を公開した。
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
freeeのCISO茂岩祐樹氏が大いに語る セキュリティの事業貢献は「大変だし怖い」
セキュリティの重要性が経営層にうまく伝わらないと悩む担当者は多いことだろう。セキュリティが事業に貢献するにはどうすればいいのか。元DeNAで現フリーのCISOを務める茂岩祐樹氏がポイントを語った。
セキュリティ担当者がいま学びたいプログラミング言語とは?
Linux FoundationとOpenSSFが安全なソフトウェア開発教育に関するレポート「Secure Software Development Education 2024 Survey」を公開した。調査から、多くのセキュリティ担当者が積極的に学びたいと考えているプログラミング言語が判明した。