GitHubに公開されたCVE-2024-49113の偽のPoCエクスプロイトが、ユーザーの機密情報を外部のFTPサーバーに送信する情報窃取型マルウェアを拡散している。
このエクスプロイトは、Trend Microによって発見され、過去の事例を踏まえた攻撃の手法が再利用されていることが判明した。GitHubで公開されるPoCエクスプロイトに対する警戒が高まる中、ユーザーは正規のソースを確認し、安全策を講じるべきだ。
偽エクスプロイトが狙う脆弱性の背景と悪用手法の詳細
CVE-2024-49113は、Windowsの軽量ディレクトリアクセスプロトコル(LDAP)に関連する脆弱性である。この脆弱性は、特定条件下で不正なアクセスを許し得るもので、同時に報告されたCVE-2024-49112と併せて注目されている。CVE-2024-49112はリモートコード実行(RCE)を可能にする深刻な問題であり、両者はマイクロソフトが12月のPatch Tuesdayで修正した。
今回の偽エクスプロイトは、SafeBreach Labsが公開した正規のPoCを改ざんしたものを基にしている。悪意あるファイル「poc.exe」をダウンロードさせ、PowerShellスクリプトを用いて被害者のデータを外部に送信する。スクリプトはPastebinを経由して追加のマルウェアを取得し、感染を拡大させる手法を取っている。
この攻撃の特徴は、正規の研究者の成果物を装い、GitHub上で広く信頼される形態を採用している点にある。過去にも同様の手口は存在したが、今回のように注目度の高い脆弱性を狙うケースでは、攻撃の効果がさらに増大する。これにより、技術的に熟練したユーザーであっても、危険性を過小評価する可能性がある。
サイバー攻撃の手口と感染拡大のリスク
攻撃者が利用した技術の一つに、UPXによる実行ファイルの圧縮がある。UPXは広く利用される合法的なツールであるが、難読化と併用されることで不正なコードを隠ぺいする手段となる。この圧縮形式のファイルは、実行後に特定のPowerShellスクリプトを%Temp%フォルダーに配置し、システムへの侵入を試みる。
その後、Pastebinを介して追加のマルウェアをダウンロードし、感染したデバイスの情報を収集する。この情報には、IPアドレス、プロセスリスト、インストール済みの更新プログラムの詳細などが含まれる。これらのデータは、攻撃者の設定した外部FTPサーバーに送信され、さらなる悪用が可能となる。
この手口のリスクは、感染が見つかりにくい点にある。GitHubの信頼性を利用しているため、セキュリティ意識の高い層でも侵入を許してしまう可能性がある。また、Pastebinを経由することで追跡を難しくしている点も、攻撃者の狡猾さを示している。
偽のエクスプロイトから身を守るための対策と提言
この種の攻撃からシステムを守るためには、まず信頼性のあるリポジトリのみを利用することが重要である。GitHubで公開されているコードであっても、発信者が正当な研究者やセキュリティ企業であるかを確認する必要がある。特に、SafeBreach LabsやTrend Microのような認知度の高い企業が発表した公式情報を参照することが望ましい。
コードを実行する前には、内容を確認し、難読化されていないかを検証することが推奨される。また、VirusTotalなどのオンラインツールを利用してバイナリファイルの安全性を確認するのも有効だ。これにより、疑わしいファイルを事前に除外できる可能性が高まる。
さらに、企業や個人のシステムにおいては、セキュリティパッチの適用を徹底することが必要だ。未修正の脆弱性は、攻撃者にとって格好の標的となる。特に、LDAP関連のシステムを運用する環境では、Patch Tuesdayの更新内容を常に確認し、迅速に適用する体制を整えるべきだ。