Trend Microはこのほど、「CVE-2024-21412: DarkGate Operators Exploit Microsoft Windows SmartScreen Bypass in Zero-Day Campaign|Trend Micro (US)」において、Microsoft Defender SmartScreenのセキュリティ機能をバイパスする脆弱性「CVE-2024-21412」が2024年1月に発生したマルウェア「DarkGate」配布キャンペーンに悪用されたと報じた。この脆弱性は2024年2月に修正されており、ゼロデイの脆弱性の悪用だったとみられている。

  • CVE-2024-21412: DarkGate Operators Exploit Microsoft Windows SmartScreen Bypass in Zero-Day Campaign|Trend Micro (US)

マルウェア「DarkGate」の感染経路

このキャンペーンは、Trend Microが運営する脆弱性発見コミュニティ「Zero Day Initiative」により2024年1月に発見された。このキャンペーンではPDFファイルを使用してユーザーを誘導し、脆弱性「CVE-2024-21412」をホストする危険なWebサイトから悪意のあるアプリケーションをダウンロードさせる手法が使用された。

  • 002l.jpg

    マルウェア「DarkGate」の感染経路 引用:Trend Micro

最初に配布されるPDFファイルは、フィッシングメールの添付ファイルとして配布される。このPDFファイルには、Googleが吸収合併した広告関連企業「doubleclick.net」へのリンクが含まれている。ユーザーがこのリンクをクリックするとGoogleの広告システムを経由して悪意のあるWebサイトへリダイレクトされる。

リダイレクト先は悪意のあるインターネットショートカットファイル(.url)で、このショートカットファイルからさらに別のインターネットショートカットファイルへリダイレクトされる。この2段階のインターネットショートカットファイルの参照手順が脆弱性「CVE-2024-21412」となる。これによりMicrosoft Defender SmartScreenのセキュリティ機能がバイパスされる。

2度目のショートカットファイルはアプリケーションのインストールファイルを指しており、CVE-2024-21412の影響から警告を表示することなく実行される可能性がある。なお、この2度目のショートカットファイルには「CVE-2023-36025」の脆弱性が使用されており、セキュリティ機能のバイパスを確実にする意図があるものとみられる。

マルウェア「DarkGate」の実体

アプリケーションのインストールが開始されると、ダイナミックリンクライブラリー(DLL: Dynamic Link Library)のサイドローディング技術を使用して悪意のあるDLLファイルがロードされる。その後、さらに複数のマルウェアローダーを経由して最終的にDarkGateが実行される。

DarkGateはBorland Delphiで記述された遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)とされ、プロセスインジェクション、ファイルのダウンロードと実行、情報窃取、シェルコマンドの実行、キーロガーなどさまざまな機能を持つ。

対策

脆弱性「CVE-2024-21412」および「CVE-2023-36025」はセキュリティ更新プログラムが公開されており、これらを適用することで攻撃を軽減することができる。また、Trend Microは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「trendmicro.com/content/dam/trendmicro/global/en/research/24/c/cve-2024-21412--darkgate-operators-exploit-microsoft-windows-smartscreen-bypass-in-zero-day-campaign/DarkGate-IoCs.txt」にて公開しており、必要に応じて活用することが望まれている。