MSHTML の脆弱性を悪用:政府/防衛を狙うハッカーの動きを検知

Hackers Exploited MSHTML Flaw to Spy on Government and Defense Targets

2022/01/25 TheHackerNews — 火曜日にサイバー・セキュリティ研究者たちは、西アジアの国家安全保障政策を監督する政府高官や防衛産業に携わる人々を標的とした、複数のステージで構成されるスパイ活動について明らかにした。セキュリティ企業である Trellix (McAfee Enterprise と FireEye が合併) は、The Hacker Newsに掲載されたレポートの中で、この攻撃は、Microsoft OneDrive を Command and Control (C2) サーバーとして活用している点が特徴であり、可能な限り目立たないようにするために6つのステージに分かれていると述べている。

Trellix は、「一連の通信では、マルウェアは正規の Microsoft ドメインだけに接続され、不審なネットワーク・トラフィックも表示しないため、被害者のシステムでは気づかれ難くなる」と説明している。

この秘密工作に関連する兆候は、2021年6月18日から見られるようになり、9月21日と29日に2人の被害者が報告された後の、10月6日〜8日の3日間で 17人の被害者が報告されたと言われている。

Trellix は、ソースコードにおける類似性と、攻撃指標や地政学的な目的などを分析すると、今回の攻撃は、2020年に SolarWinds の侵害を行った、ロシアを拠点とする APT28 グループによるものだと、ある程度は推測できると述べている。Trellix の Security Researcher である Marc Elias は、「使用されるインフラ/マルウェアのコーディング技術/運用および設定などから、きわめて熟練した脅威アクターが相手だと確信している」と述べている。

感染経路は、MSHTML のリモートコード実行の脆弱性 (CVE-2021-40444) を悪用する、Microsoft Excel ファイルの実行から始まりまる。このファイルは、Graphite と名付けられた、第3段階のマルウェアのダウンローダーとして機能する、悪意のバイナリの実行に使用される。

この DLL 実行ファイルは、Microsoft Graph API を介して OneDrive を C2 サーバーとして使用し、追加のステージング・マルウェアを取得する。このステージング・マルウェアは、最終的に Empire をダウンロード/実行する。Empire は、オープンソース PowerShell ベースのポスト・エクスプロイト・フレームワークであり、後に続く活動のために利用する脅威アクターも多いとされる。

Microsoft と SafeBreach Labs は、この脆弱性を利用してマルウェアを仕込み、カスタム Cobalt Strike Beacon ローダーを配布した複数のキャンペーンを公開しており、今回の開発は、MSTHML レンダリング・エンジンの欠陥が引き続き利用されていることを示している。

どちらかといえば、一連の活動は、MSTHML レンダリング・エンジンの欠陥を、継続的に悪用しようとしているようだ。Microsoft と SafeBreach Labs は、マルウェアを植え付けてカスタム Cobalt Strike Beacon ローダーを配布する、複数のキャンペーンに関する情報を開示している。

Internet Explorer 11.0 には MSHTML.dll 11.0x が含まれ、どちらも現役とのことです。文中にあるように、西アジアの国家安全保障政策を監督する政府高官や防衛産業に携わる人々が標的だとすると、このような領域で、依然として利用されているのでしょう。なお、最近の記事で APT28 が登場するのは、1月17日の「再生可能エネルギー産業を標的とする、大規模なサイバー・スパイ・キャンペーン」と「ロシアのスパイグループが Log4Shell の悪用を開始:APT28/Turla/Ursnif などによる探索を検知」です。よろしければ、ご参照ください。

%d bloggers like this: