ロシアのハッカー容疑者が、ウクライナの組織を標的とした進行中のゼロデイ攻撃として、最近パッチが適用された Windows の脆弱性を悪用して逮捕されました。

セキュリティ上の欠陥 (CVE-2024-43451) は、ClearSky セキュリティ研究者によって報告された NTLM Hash Disclosure スプーフィングの脆弱性であり、攻撃者が制御するリモート サーバーへの接続を強制することで、ログイン ユーザーの NTLMv2 ハッシュを盗むために悪用される可能性があります。

ClearSky は、このキャンペーンを悪用するように設計されたフィッシングメールを観察した後、6 月にこのキャンペーンを発見しました。これらの電子メールには、以前に侵害されたサーバー (osvita-kp.gov) でホストされていたインターネット ショートカット ファイルをダウンロードするハイパーリンクが含まれていました。[.]ua) カミアネツ・ポジリシキー市議会教育科学局に所属。

「ユーザーが URL ファイルを右クリック、削除、移動するなどして操作すると、脆弱性が引き起こされます。」 クリアスカイは言った。

これが発生すると、リモート サーバーへの接続が作成され、攻撃者が侵害されたシステムをリモートで制御できるようにするオープンソースおよびマルチプラットフォームのリモート アクセス ツールである SparkRAT などのマルウェア ペイロードがダウンロードされます。

このインシデントの調査中に、研究者らはサーバー メッセージ ブロック (SMB) プロトコルを介して NTLM ハッシュを盗もうとする試みについても警告を受けました。これらのパスワード ハッシュは「」で使用できます。ハッシュを渡す「攻撃またはクラックしてユーザーの平文パスワードを取得します。

ClearSky はこの情報をウクライナのコンピュータ緊急対応チーム (CERT-UA) と共有し、同チームはこの攻撃がロシア人であると考えられ、UAC-0194 として追跡されている脅威グループの一部であるハッカーによるものであると関連付けました。

昨日、Microsoft は次の一環としてこの脆弱性を修正しました。 2024 年 11 月パッチ火曜日 そして、悪用を成功させるにはユーザーの対話が必要であるとClearSkyの調査結果を確認した。

「この脆弱性により、ユーザーの NTLMv2 ハッシュが攻撃者に公開され、攻撃者はこれを使用してユーザーとして認証される可能性があります」と Redmond 氏は勧告しています。 説明した。

「選択（シングルクリック）、検査（右クリック）、または開くか実行以外のアクションの実行など、ユーザーによる悪意のあるファイルとの最小限の操作によって、この脆弱性が引き起こされる可能性があります。」

同社によれば、CVE-2024-43451は、Windows 10以降およびWindows Server 2008以降を含む、サポートされているすべてのWindowsバージョンに影響を与えるという。

CISAも 追加した その脆弱性 悪用された既知の脆弱性カタログ 火曜日に、政府の義務に従い、12月3日までにネットワーク上の脆弱なシステムを保護するよう命じた。 拘束力のある運用指令 (BOD) 22-01。

「この種の脆弱性は、悪意のあるサイバー攻撃者にとって頻繁に攻撃ベクトルとなり、連邦企業に重大なリスクをもたらす」とサイバーセキュリティ局は警告した。