サイバーセキュリティ · 1 min read · Sep 28, 2025

ハリケーンパンダ、中国起源の攻撃がX64 Windowsシステムのゼロデイ脆弱性を悪用

目次

  • ハリケーンパンダとは?
  • CrowdStrike
  • 仕組みは以下の通りです:

ハリケーンパンダとは?

CrowdStrikeのセキュリティ研究者たちは、ゼロデイ脆弱性(CVE-2014-4113)を利用した高度に洗練された攻撃を発見し、これをハリケーンパンダと名付けました。CrowdStrikeの研究者たちは、この攻撃が中国のサイバー犯罪者から発信されており、Windows 7までのX64ベースのWindowsシステムをターゲットにしたゼロデイの悪用を行っていると考えています。さらに、ハリケーンパンダは少なくとも5ヶ月間、実際に攻撃を行い、脆弱性を悪用していることが指摘されています。

CrowdStrike

CrowdStrikeは、64ビットのWindows Server 2008 R2マシンで外部の攻撃者による妥協が疑われる不審な活動を最初に検出しました。さらなる調査により、攻撃はウェブサーバーを妥協し、Chopperウェブシェルを展開することから始まり、新たに発見されたローカル特権昇格ツールを使用して特権を昇格させることが明らかになりました。このツールは、以前は知られていなかった脆弱性を悪用します(現在はMicrosoftによってパッチが適用されています)。

これにより侵入者の特権がSYSTEMユーザーのものに昇格され、その後、これらのアクセス権を持つ新しいプロセスが作成され、通常は情報収集活動を実行するためのコマンドが実行されます。

仕組みは以下の通りです:

CrowdStrikeによるWin64.exeバイナリの後続分析により、これは以前は知られていなかった脆弱性を悪用して特権をSYSTEMユーザーのものに昇格させ、その後、これらのアクセス権を持つ新しいプロセスを作成して引数として渡されたコマンドを実行することが明らかになりました。ファイル自体はわずか55キロバイトのサイズで、いくつかの関数しか含まれていません。以下はその機能の高レベルな説明です:

  • メモリセクションを作成し、脆弱性がトリガーされたときにカーネルから呼び出される関数へのポインタを保存する

  • ウィンドウマネージャーのメモリ破損脆弱性を利用し、ユーザーの操作をシミュレートしてコールバック関数を呼び出す

  • EPROCESS構造内のアクセス トークン ポインタをSYSTEMプロセスのものに置き換える

  • 最初の引数からコマンドをSYSTEM特権を持つ新しいプロセスとして実行する

CrowdStrikeは、ハッカーが一般的なサイバー犯罪者ではなく、国家の支援を受けた高度に洗練されたサイバー犯罪グループであると考えています。彼らがこのように述べる理由は、通常のハッカーは個人情報や財務情報を持つファイルを狙っているため、システムへの特権アクセスを必要としないからです。ハリケーンパンダ攻撃では、CrowdStrikeはサイバー犯罪者がルートキットとして機能するカーネルドライバーをロードしたり、パスワードダンプを実行したりするなど、より高度なサイバー諜報関連の行動を行おうとしていることを観察しました。これには、ネットワーク内を移動するための管理者特権アクセスが必要です。

「敵はしばしば既知の特権昇格脆弱性を利用して管理者レベルのアクセスを獲得しますが、真のゼロデイの悪用は稀であり、したがって野生で観察されると特に興味深いものです。これは、攻撃者が公開されていない悪用可能なセキュリティバグについての知識を持っていることを示しており、通常はその悪用が供給者から購入されたか、社内で開発されたことを意味します。」

CrowdStrikeはまた、ハリケーンパンダの背後にいる犯罪者が非常に優れた悪用コードを書いており、成功率が100%であることを指摘しました。このブログでは、ハッカーが発見される可能性を最小限に抑えるためにかなりの努力を払った可能性があることも指摘されています。

ハリケーンパンダの悪用キットの製作者が取った努力の一例は、侵入操作中に絶対に必要な場合にのみ昇格ツールが展開され、使用後すぐに削除されることです。

CrowdStrikeはまた、ハリケーンパンダの選択したRATがPlugXであることを発見しました。これが、彼らがこの悪用が中国本土から発信されていると信じるもう一つの理由です。この特定のRATは、中国の敵対者の間で最近人気が高まっているDLLサイドローディング技術を使用するように構成されています。

CrowdStrikeによると、ハリケーンパンダは日々攻撃を行っており、ターゲット面は広範囲です:このバグは、Windows 7およびWindows Server 2008 R2を含むすべてのx64 Windowsバリアントに影響を与えます。Windows 8以降のバリアントでIntel Ivy Bridge以降の世代のプロセッサを搭載したシステムでは、SMEP(スーパーバイザーモード実行防止)がバグの悪用をブロックし、ブルースクリーンが表示されます。

この特定の攻撃を受けた場合、Microsoftはこの悪用に関してセキュリティ情報MS14-058で対処し、脆弱性を修正するパッチを発行しました。こちらから修正プログラムをダウンロードし、すぐにシステムを更新してください。

リソース:CrowdStrike

Share: X/Twitter LinkedIn
#サイバーセキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。