SafeBreach Labsのセキュリティ研究者によってPowerShortShellと呼ばれる新しいPowerShellベースのステイヤーを使用して、世界中のペルシャ語を話すターゲットが所有するGoogleとInstagramの認証情報を盗んでいることがわかりました。
この情報窃盗ツールは、Telegramの監視にも使用され、侵害されたデバイスからシステム情報を収集し、盗んだ認証情報とともに攻撃者の管理するサーバーに送信されているようです。
この攻撃(Shadow Chaser Groupが9月にTwitterで公に報告したもの)は、7月にスピアフィッシングメールとして開始されました。
これらの攻撃は、CVE-2021-40444として追跡されているMicrosoft MSHTMLのリモートコード実行(RCE)バグを悪用する悪意のあるWinwordの添付ファイルでWindowsユーザーをターゲットにしています。
PowerShortShell stealerのペイロードは、感染したシステムにダウンロードされたDLLによって実行されます。起動すると、PowerShellスクリプトがデータや画面のスナップショットの収集を開始し、攻撃者のコマンド&コントロール・サーバーにデータを送信します。
被害者のほぼ半数は米国に在住しているようで、Microsoft Word文書の内容(イランの指導者を非難している)と収集されたデータの性質から、被害者は海外に住むイラン人で、イランのイスラム体制を脅かす存在とみなされている可能性があると推測されます
テレグラムの監視利用は、Infy、Ferocious Kitten、Rampant Kittenといったイランの脅威アクターの典型的な利用方法であることから、敵対者はイランのイスラム体制に結びついている可能性があります。
IEのMSTHMLレンダリングエンジンに影響を与えるCVE-2021-40444 RCEバグは、Microsoftが部分的な回避策を含むセキュリティアドバイザリを発行する2週間以上前から、ゼロデイ脆弱性として実世界で悪用されています。
最近では、ランサムウェア「Magniber」による悪意のある広告と連動して利用され、標的をマルウェアに感染させ、端末を暗号化していました。
また、マイクロソフト社によるとランサムウェアの関連会社を含む複数の脅威グループが、このWindows MSHTML RCEバグを標的にフィッシング攻撃で配信される悪意のある細工が施されたOffice文書を使用していました。
これらの攻撃では、CVE-2021-40444の不具合を “カスタムCobalt Strike Beaconローダーを配布する初期アクセスキャンペーンの一環として “利用していました。
配布されたビーコンは、人間が操作するランサムウェアなど、複数のサイバー犯罪キャンペーンに関連する悪意のあるインフラと通信していました。
CVE-2021-40444の攻撃チェーン
CVE-2021-40444の脆弱性を利用する攻撃者が増えているのは驚くことではありません。というのも、このバグにパッチが適用される前から、脅威アクターがチュートリアルや概念実証のエクスプロイトをハッキングフォーラムで共有していたからです。
これにより、他の脅威関係者やグループが、このセキュリティ上の欠陥を利用した攻撃を開始したと考えられます。
ネット上で共有されている情報は簡単で、誰でも簡単にCVE-2021-40444エクスプロイトの実働版を作成することができます。その中には悪意のある文書やCABファイルを感染したシステムに配布できるPythonサーバーも含まれています。
この情報を利用して、このビデオデモで示されているように、約15分でエクスプロイトの再現に成功しました。
Demonstration of new Windows MSHTML CVE-2021-40444 zero-day vulnerability from BleepingComputer.com on Vimeo.
攻撃の概要
CVE-2021-40444エクスプロイトのステップを説明します
ステップ1
攻撃は、被害者がおびき寄せられて開封するスピアフィッシングメール(WinWordの添付ファイル)を送信することから始まります。
ステップ2
Wordファイルが悪意のあるサーバーに接続し、悪意のあるhtmlを実行し、DLLを%temp%ディレクトリにドロップします。
xmlファイルdocument.xml.relsに格納されているリレーションシップは、C2サーバ上の悪意のあるhtml: mshtml:http://hr[.]dedyn[.]io/image.htmlを指しています。
HTML内のJScriptには、CABファイルを指し示すオブジェクトと、INFファイルを指し示すiframeが含まれており、その前には”.cpl: “ディレクティブが付けられています。
CAB ファイルが開かれます。CABにはディレクトリトラバーサルの脆弱性があるため、%TEMP%にmsword.infファイルを保存することが可能です。
ステップ3
悪意のあるDLLがPowerShellスクリプトを実行します。
INFファイルは「.cpl:」ディレクティブで開かれ、rundll32経由でサイドロードされます。例:「.cpl:../../../../Temp/Low/msword.inf」。
Msword.infはdllがダウンロードし、最終的なペイロード(PowerShellスクリプト)を実行します。
PowerShellスクリプトは、データを収集し、攻撃者のC2サーバーに流出させます。
Comments