Windows のゼロデイ脆弱性 Follina:フィッシング攻撃で積極的に悪用されている

Windows zero-day exploited in US local govt phishing attacks

2022/06/06 BleepingComputer — 欧州政府および米国の地方自治体が、Windows の深刻なゼロデイ脆弱性 Follina を悪用する、RTF 文書を介したフィッシング・キャンペーンのターゲットになっている。BleepingComputer は、このキャンペーンの標的となった、少なくとも2つの米国の地方自治体を確認している。エンタープライズ・セキュリティ企業 Proofpoint のセキュリティ研究者は、「Proofpoint は、脆弱性 Follina CVE-2022-30190 を悪用しようとする、欧州政府および米国の地方政府を標的とした、国家ぐるみのフィッシング・キャンペーンをブロックした」と明かしている。

攻撃者は、昇給というルアーを使って従業員をおびき寄せ、感染へのステップとなる文書を開かせ、最終的なペイロードとして Powershell スクリプトを展開させる。このスクリプトは、システムが仮想マシンでは無いことを確認した後に、複数の Web ブラウザ/メール・クライアント/ファイル・サービスから情報を盗み出し、攻撃者が管理するサーバに流出させるための、システム情報を収集するために使用される。

Phishing email
Phishing email (Proofpoint)


BleepingComputer が、この攻撃の最終的な PowerShell ペイロードを確認した際に発見したように、脅威者は大量の情報を収集していた。この、収集されたデータはイニシャル・アクセスに使用できるため、このキャンペーンにおける偵察攻撃としての性格が明らかになった。

  • ブラウザのパスワード:Google Chrome/Mozilla Firefox/Microsoft Edge/Opera/Yandex/Vivaldi/CentBrowser/Comodo/CheDot/Orbitum/Chromium/Slimjet/Xvast/Kinza/Iridium/CocCoc/AVAST Browser。
  • アプリデータ:Mozilla Thunderbird/Netsarang セッション・ファイル/Windows Live Mail 連絡先/Filezilla パスワード/ToDesk 設定ファイル/WeChat/Oray SunLogin RemoteClient/MailMaster/ServU/Putty/FTP123/WinSCP/RAdmin/Microsoft Office/Navicat。
  • Windows の情報:コンピュータ情報/ユーザー名リスト/Windowsドメイン情報

    Proofpoint のセキュリティ研究者たちは、「Powershell による広範な偵察と標的の絞り込みから、このキャンペーンは、国家に連携した行為者によるものだと疑われるが、現時点においては番号付きの脅威アクターによるものとは断定されていない」と述べている。
PowerShell script
PowerShell script (BleepingComputer)


Microsoft は、一連の攻撃で悪用されたリモートコード実行の脆弱性 CVE-2022-30190 について、Microsoft Windows Support Diagnostic Tool (MSDT) におけるバグだと説明している。現時点において、脆弱性 CVE-2022-30190 にはパッチが適用されておらず、セキュリティ更新プログラムを受け取っている、すべての Windows バージョン (Windows 7+ および Server 2008+) に影響を及ぼす。

このゼロデイの悪用に成功した攻撃者は、呼び出し元のアプリの権限で任意のコードを実行し、プログラムのインストールや、データの閲覧/変更/削除、新しい Windows アカウントの作成などを行える。

また、先週に Proofpoint は、中国に関連するハッキング・グループ TA413 が、彼らが頻繁にターゲットにする、チベット人の国際的なコミュニティへの攻撃において、この脆弱性が悪用されていることを明らかにした。セキュリティ研究者である MalwareHunterTeam も、パスワードを盗むトロイの木馬を展開するために使用される、中国語のファイル名を持つ悪意のドキュメントを発見している。

しかし、このゼロデイを狙った最初の攻撃としては、Sextortion の脅しや Sputnik Radio インタビューへの招待をルアーにしたものが、1ヶ月以上前に発見されている。

現時点では、脆弱性 CVE-2022-30190 へのパッチが、Microsoft からリリースされていないが、このバグの活発な悪用が報告された後に、CISA は Windows の管理者とユーザーに対して、MSD Tプロトコルを無効にするよう促している。

Microsoft が公式のセキュリティ更新プログラムをリリースするまで、マイクロパッチ・サービス 0patch がリリースする非公式パッチを使用して、これらの進行中の攻撃に対してシステムを修正することも可能だ。

Microsoft Office のマクロという、初期感染のための魅力的なルートが閉じられたことで、脅威アクターたちが次に向かうのが、この Microsoft Windows Support Diagnostic Tool (MSDT) の脆弱性 Follina CVE-2022-30190 になるのでしょう。この記事にもあるように、すでに世界中で悪用が始まっているようです。6月1日の「Windows のゼロデイ脆弱性 Follina CVE-2022-30190 は ProtocolNightmare になるのか?」にあるように、PrintNightmare のような長期戦になる可能性もあります。はやく、FIX してほしいですね。

%d bloggers like this: