FireEye は最近、エクスプロイトが埋め込まれた Microsoft Office RTF ドキュメントをユーザーが開いたときに、悪意のあるアクターが PowerShell コマンドを含む Visual Basic スクリプトをダウンロードして実行できる脆弱性 CVE-2017-0199 を特定しました。 Microsoft と協力して、パッチが利用可能になり次第、この脆弱性の技術的な詳細を公開しました。
このフォローアップの投稿では、パッチがリリースされるまでの数日、数週間、数か月間に CVE-2017-0199 ゼロデイを利用して観察されたキャンペーンのいくつかについて説明します。
複数の攻撃者によって使用される CVE-2017-0199
FireEye は、CVE-2017-0199 が開示前に金銭目的の国家アクターによって悪用されたことをある程度の確信を持って評価しています。 FINSPY と LATENTBOT を利用する攻撃者は、1 月と 3 月には早くもゼロデイを使用しており、それらの実装の類似点は、共有ソースからエクスプロイト コードを取得したことを示唆しています。最近の DRIDEX 活動は、2017 年 4 月 7 日の開示に続いて始まりました。
ロシア語を話す被害者を標的にするために使用される FINSPY マルウェア
早くも1月25日、 2017 年には、ロシア国防省の命令に言及するおとり文書と、「ドネツク人民共和国」で公開されたとされるマニュアルが CVE-2017-0199 を悪用して FINSPY ペイロードを配信しました。標的を特定することはできませんが、FINSPY は Gamma Group によって複数の国家クライアントに販売されており、サイバー スパイ活動を実行するためにゼロデイと共に使用されていたと中程度の自信を持って評価しています。
悪意のあるドキュメント СПУТНИК РАЗВЕДЧИКА.doc (MD5: c10dabb05a38edd8a9a0ddda1c9af10e) は、広く入手可能な軍事訓練マニュアルを兵器化したものです (図 1)。特に、このバージョンは「ドネツク人民共和国」で発行されたとされています。この名前は、ウクライナ東部の反キエフ反乱軍が支配する地域に付けられた名前です。
最初の悪意のあるドキュメントは、95.141.38.110 からマルウェアやおとりドキュメントを含むさらなるペイロードをダウンロードしました。このサイトは、prikaz.doc (MD5: 0F2B7068ABFF00D01CA7E64589E5AFD9) を含む追加のルアー コンテンツを回復できるように、オープン インデックスに登録されていました。これは、森林管理計画を承認するロシア国防省令であると主張しています。
CitizenLab の 2015 年のレポートによると、Gamma Group はクライアントにソフトウェアのライセンスを付与し、各クライアントは独自のインフラストラクチャを使用しているため、2 つのドキュメントが単一のクライアントによって使用されている可能性があります。
FINSPY マルウェアは、英独の「合法的傍受」企業である Gamma Group によって販売されています。 Gamma Group は多数の国家クライアントに代わって活動しており、活動の最終的なスポンサーについての洞察を制限しています。 FINSPY マルウェアは高度に難読化されており、コマンド アンド コントロール (C2) 情報を抽出できませんでした。
CVE-2017-0199 LATENTBOT の配布に使用
2017 年 3 月 4 日には、CVE-2017-0199 を悪用する悪意のあるドキュメントがLATENTBOT マルウェアの配信に使用されました。資格情報を盗む機能を備えたこのマルウェアは、これまでのところ、FireEye iSIGHT Intelligence によって金銭目的の脅威活動でのみ観測されています。さらに、この最新のキャンペーンで使用された一般的なルアーは、金銭目的の攻撃者が使用する方法と一致しています。
LATENTBOT は、2015 年 12 月に FireEye iSIGHT インテリジェンスによって最初に発見されたモジュール式の高度に難読化されたタイプのマルウェアです。資格情報の盗難、ハード ドライブとデータの消去、セキュリティ ソフトウェアの無効化、リモート デスクトップ機能など、さまざまな機能が可能です。最近、Microsoft Word Intruder (MWI) を使用した LATENTBOT キャンペーンを観測しました。
LATENTBOT マルウェアを配布するルアー ドキュメントは、一般的なソーシャル エンジニアリングを使用していました。使用されたドキュメントを表 1 に示します。これらはすべて 217.12.203.90 を C2 ドメインとして使用していました。
|
ファイル名 |
MD5 ハッシュ |
|
採用フォーム.doc |
5ebfd13250dd0408e3de594e419f9e01 |
|
!!!!緊急!!!!読む!!!.doc |
1b17ccf5109a9342b59bded31e1ffb18 6e9483edacdc2b6f6ed45c526cf4cf7b |
|
PDP.doc |
4a81b6ac8aa0f86719a574d7546d563f |
|
ドキュメント.doc |
65a558e9fe907dc5790e8a592364f64e |
表 1: LATENTBOT ドキュメント
4 月 10 日、攻撃者はインフラストラクチャを変更して、LATENTBOT の代わりに TERDOT ペイロードを配信しました。この TERDOT ペイロード (MD5: e3b600a59eea9b2ea7a0d4e3c45074da) は http://185.77.129.103/SBz1efFx/gt45gh.php にビーコンを送信し、Tor クライアントとビーコンを sudoofk3wgl2gmxm.onion にダウンロードします。
FINSPY と LATENTBOT のサンプルは起源を共有しています
FINSPY サンプルと LATENTBOT サンプルの共有アーティファクトは、両方の作成に同じビルダーが使用されたことを示唆しており、ゼロデイ エクスプロイトが同じソースから犯罪活動とサイバー スパイ活動の両方に提供されたことを示しています。
両方のキャンペーンで使用された悪意のあるドキュメントは、2016-11-27 22:42:00 の最終更新時刻を共有しています (図 2)。
最近の開示に続く DRIDEX スパム
2017 年 4 月 7 日にゼロデイに関連する詳細が公開された後、この脆弱性は DRIDEX スパム キャンペーンで使用され、このブログの公開時点でも継続しています。攻撃者がエクスプロイトを取得したメカニズムは確認できません。これらの攻撃者は、開示によって得た脆弱性に関する知識を利用したか、パッチ適用が差し迫っていることが明らかになったときに脆弱性へのアクセスを許可された可能性があります。
2017 年 4 月 10 日に、「スキャン データ」ルアーを利用したスパム ウェーブが送信されました。添付の文書は、CVE-2017-0199 を利用して被害者のコンピュータに DRIDEX をインストールしました。
展望と影響
このゼロデイ エクスプロイトを利用している FINSPY ユーザーは 1 人しか確認されていませんが、FINSPY の歴史的な範囲 (複数の国家で使用されている機能) は、他の顧客がそれにアクセスしたことを示唆しています。さらに、この事件は、サイバー脅威のグローバルな性質と世界的な視点の価値を明らかにしています。ロシア人を標的としたサイバースパイ事件は、他の場所で英語を話す人に対する犯罪について学び、阻止する機会を提供することができます.
参考: https ://www.mandiant.com/resources/blog/cve-2017-0199
Comments