CISA

CISAは連邦政府機関に対し、NATOフィッシング攻撃でロシアに本拠を置くサイバー犯罪グループRomComによって悪用されたWindowsおよびOffice製品に影響を与えるリモートコード実行のゼロデイを緩和するよう命令した。

これらのセキュリティ上の欠陥 (まとめてCVE-2023-36884として追跡される) は、月曜日に CISA の悪用された既知の脆弱性のリストにも追加されました。

2021 年 11 月に発行された拘束力のある運用指令 (BOD 22-01) に基づき、米国連邦文民行政府機関 (FCEB) は、CVE-2023-36884 を悪用した攻撃からネットワーク上の Windows デバイスを保護することが義務付けられています。

連邦政府機関には、 マイクロソフトが 1 週間前に共有した緩和策を実施してシステムを保護するため、 8 月 8 日までの3 週間の猶予が与えられています。

この欠陥はまだ解決されていませんが、Microsoft は毎月のリリース プロセスまたはアウトオブバンド セキュリティ アップデートを通じてパッチを提供することに取り組んでいます。

レドモンド氏によると、パッチが利用可能になるまで、Defender for Office 365、Microsoft 365 Apps ( バージョン 2302 以降) を使用している顧客、および「すべての Office アプリケーションによる子プロセスの作成をブロックする」攻撃対象領域削減ルールをすでに有効にしている顧客は CVE-2023 から保護されるとのこと-36884 フィッシング攻撃。

これらの保護を使用していない場合は、次のプロセス名をデータ 1 の REG_DWORD タイプの値としてFEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATIONレジストリ キーに追加して、攻撃ベクトルを削除できます: Excel.exe、Graph.exe、MSAccess.exe、MSPub.exe、PowerPoint.exe、 Visio.exe、WinProj.exe、WinWord.exe、Wordpad.exe。

FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION レジストリ キー
FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION レジストリ キーの設定 (Microsoft)

ただし、このレジストリ キーを設定すると CVE-2023-36884 攻撃はブロックされますが、一部の Microsoft Office アプリの機能にも影響を与える可能性があることに注意することも重要です。

カタログの主な焦点は米国連邦機関を中心としていますが、民間企業も CISA の KEV カタログに追加されたすべての脆弱性へのパッチ適用を優先することを強くお勧めします。

「この種の脆弱性は悪意のあるサイバー攻撃者による頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらす」と CISA は警告した

NATOフィッシング攻撃でロシアのハッカーによって悪用される

今月のパッチ チューズデー中に公開されたレポートの中で、Microsoft は、CVE-2023-36884 ゼロデイが北米とヨーロッパの政府機関に対する標的型攻撃に悪用されたことを確認しました。

「このキャンペーンには CVE-2023-36884 の悪用が含まれており、これには Word 文書経由で Microsoft に開示される前に悪用されたリモート コード実行の脆弱性が含まれていました」と Redmond 氏は述べています

「Storm-0978 (DEV-0978、他のベンダーからはバックドアの名前 RomCom とも呼ばれる) はロシアを拠点とするサイバー犯罪グループで、日和見的なランサムウェアや恐喝のみの作戦、および標的型認証情報を実行することで知られています。 -おそらく諜報活動を支援するための収集キャンペーン。」

「2023 年 6 月に検出されたこの攻撃者の最新のキャンペーンには、RomCom と類似したバックドアを配信するための CVE-2023-36884 の悪用が含まれていました。」

BlackBerry の諜報チームウクライナのコンピュータ緊急対応チーム (CERT-UA)の研究者がまとめた報告書によると、攻撃者はウクライナ世界会議組織になりすました悪意のある Office ドキュメントを使用して、ビリニュスで開催された NATO サミットに参加している組織を標的にしました。

この策略により、彼らはターゲットをだまして、MagicSpell ローダーや RomCom バックドアを含むマルウェア ペイロードを展開させることに成功しました。

RomCom サイバー犯罪組織は、 以前はIndustrial Spy ランサムウェア活動に関与していましたが、現在はUndergroundと呼ばれる新しいランサムウェア株に切り替えています。 2022 年 5 月、MalwareHunterTeam は、Industrial Spy の身代金メモ内の電子メール アドレスと TOX ID を調査中に、キューバのランサムウェア活動へのリンクも発見しました。