Microsoft MSHTML のバグ悪用:Google/Instagram から認証情報などが盗まれる

Hackers exploit Microsoft MSHTML bug to steal Google, Instagram creds

2021/11/24 BleepingComputer — SafeBreach Labs のセキュリティ研究者たちにより、新たに発見されたイランの脅威アクターは、PowerShortShell と名付けた PowerShell ベースの新しい情報窃取ツールを用いて、ペルシャ語を話す世界中のターゲットから、Google および Instagram の認証情報を盗んでいる。

この情報窃取ツールは、Telegram の監視にも使用され、侵害したデバイスからシステム情報/認証情報を集めて、攻撃者の管理するサーバーに送信する。

SafeBreach Labs が発見したように、この攻撃 (Shadow Chaser Group が9月に Twitter で公表) は、スピアフィッシング・メールとして7月に始まっている。この攻撃は、Windows ユーザーを対象としており、悪意の WinWord 添付ファイルは、Microsoft MSHTML の RCE の脆弱性 CVE-2021-40444 を悪用している。

PowerShortShell Stealer のペイロードは、感染したシステムにダウンロードされた DLL により実行される。そして、起動されたペイロードにより、PowerShell スクリプトがデータやスナップショットの収集を開始し、攻撃者の Command and Control サーバーにデータを送信する。

SafeBreach Labs の Director of Security Research である Tomer Bar は、「被害者のほぼ半数は米国に在住している。Microsoft Word 文書の内容 (イランの指導者はコロナ大虐殺を行っていると非難) と収集されたデータの性質から、被害者は国外に在住するイラン人であり、イランのイスラム体制を脅かす存在とみなされている可能性がある。Telegram の監視は、Infy/Ferocious Kitten/Rampant Kittenといった、イランの脅威アクターたちの典型的な手法であるため、敵対者はイランのイスラム体制と結びついているかもしれない」と述べている。

IE の MSTHML レンダリング・エンジンに影響を与える、脆弱性 CVE-2021-40444 (RCE) は、Microsoft のセキュリティ・アドバイザリが部分的な回避策を知らせる2週間以上前に、つまり、パッチがリリースされる3週間前の、8月18日からゼロデイとしてワイルドに悪用されている。

最近の PowerShortShell は、ランサムウェア Magniber による悪意の広告と連動して悪用され、標的をマルウェアに感染させ、端末を暗号化していた。また、Microsoft によると、ランサムウェアのアフィリエイトを含む脅威アクターたちが、この Windows MSHTML RCE バグを標的にして、フィッシング攻撃で悪意の Office 文書を配信していた。これらの攻撃では、カスタムな Cobalt Strike Beacon ローダーを配布する、初期アクセス・キャンペーンの一環として、CVE-2021-40444 の不具合が悪用された。

配布された Beacon は、人間により操作されるランサムウェアなどの、複数のサイバー犯罪キャンペーンに関連する悪意のインフラと通信していた。脆弱性 CVE-2021-40444 を利用する攻撃者が増えていることは、驚くべきことではない。なぜなら、このバグに対するパッチが適用される以前から、脅威アクターたちはハッキング・フォーラムで、チュートリアルや PoC エクスプロイトを共有していたからである。それにより、他の脅威関係者やグループが、このセキュリティ上の欠陥を利用した攻撃を開始したと考えられる。

ネット上で共有されている情報は、簡単に利用できるものでありで、誰もが簡単に CVE-2021-40444 エクスプロイトの実働版を作成できた。その中には、悪意の文書や CAB ファイルを、感染させたシステムに配布するための Python サーバーも含まれていた。この情報を利用して、BleepingComputer もチュートリアルを参考にしてこのビデオデモで示されているように、約15分でエクスプロイトの再現に成功している。

MSHTML CVE-2021-40444 に関しては、「Microsoft Office 365 ゼロデイ攻撃 CVE-2021-40444 回避策」と、「Microsoft Windows MSHTML CVE-2021-40444 の公開後に攻撃が増大している」という記事を9月にポストしています。この時点でエクスプロイトの存在は確認されていたので、それが広まっているという話なのでしょう。この記事で、フォーカスされているのはイラン関係者の監視ですが、それ以外の目的でも利用されるのは目に見えています。ご用心ください。

%d bloggers like this: