Windows のゼロデイ脆弱性 Follina CVE-2022-30190:Qbot のフィッシング攻撃が始まった

Qbot malware now uses Windows MSDT zero-day in phishing attacks

2022/06/07 BleepingComputer — Windows の深刻なゼロデイ脆弱性 Follina だが、現在進行中のフィッシング攻撃において、受信者を Qbot マルウェアに感染させるために悪用されている。月曜日に Proofpoint は、米国と欧州の政府機関を標的としたフィッシングで、このゼロデイ脆弱性が使用されていることを、初めて報告した。また先週には、中国のハッキング・グループ TA413 が、チベット人居住区を標的とした攻撃で、この脆弱性を悪用していることも明らかにされている。

今日、Proofpoint のセキュリティ研究者たちが発表したように、TA570 Qbot のアフィリエイトたちは、悪意の Microsoft Office .docx 文書を介して、脆弱性 Follina CVE-2022-30190 を悪用し、ターゲットに Qbot 感染をさせ始めている。

攻撃者たちは、乗っ取った電子メールのスレッドメッセージに HTML を添付し、IMG ファイルを含む ZIP アーカイブをダウンロードさせる方法をとっている。この IMG ファイルの中には、DLL/Word/ショートカットなどのファイルが含まれている。

このショートカット・ファイルは、IMG ディスク・イメージ内に存在する Qbot DLL ファイルを直接にロードするが、空の .docx ドキュメントは、外部サーバーにアクセスして HTML ファイルをロードし、Follina を介して Qbot DLL ペイロードをダウンロード/実行するための、PowerShell コードを実行させる。

Qbot phishing payload
Qbotフィッシングペイロード (BleeepingComputer)

マルウェア・アナリストの ExecuteMalware による、このキャンペーンに関連する侵害の指標を、github で確認できるようだ。フィッシング・キャンペーンで使用された戦術は、TA570 が電子メールのスレッドをハイジャックして悪意の添付ファイルをプッシュする方法であり、以前のレポートにおける説明と一致している。

ターゲットを感染させるために、TA570 は2種類の方法を用いていたが、どちらの戦術が最良の結果をもたらすかを評価するために、A/Bテストが実行されていた可能性が高いことが示唆される。つまり、Qbot のアフィリエイトが、今年に入ってから攻撃方法を切り替えようとした、数少ない事例のひとつである。まず2月に、Squiblydoo という古い手口に目をつけ、regsvr32.exe を使用して、Microsoft Office 文書経由でマルウェアを拡散させた。

そして4月になって、Microsoft が Windows 版 Office のユーザーに対して、VBA マクロの自動ブロック機能を配布し始めると、この脅威アクターは悪意のマクロを含む Microsoft Office ドキュメントの悪用を止めた。そして、悪意の MSI Windows Installer パッケージを含む、パスワード保護された ZIP アーカイブ添付に、作戦を切り替えたのである。

Qbot とは?

Qbot (別名:Qakbot/Quakbot/Pinkslipbot) は、モジュール型 Windows バンキング型トロイの木馬である。ネットワーク共有エクスプロイトと、Active Directory 管理アカウントに対する極めて強力なブルート・フォース攻撃により、侵害したネットワーク上から、より多くのデバイスを感染させる、ワーム機能を備えている。

この情報窃取型マルウェアは 2007年以降から使用されており、銀行口座情報/個人情報/財務データなどの収集や、感染させたコンピュータに対して、バックドアや Cobalt Strike ビーコンの展開を可能にする。

また、複数の RaaS オペレーター (REvil/PwndLocker/Egregor/ProLock/MegaCortex など) に関連するランサムウェア・アフィリエイトも、企業ネットワークへのイニシャル・アクセスに Qbot を使用し始めている。

2021年12月に Microsoft は、Qbot の攻撃は汎用性が高いため、その感染範囲の正確な評価は困難であると、レポートで発表している。また、最近の DFIR レポートは、初期感染から約 30分以内に、ユーザーの機密データ ( Windows の認証情報や電子メールを含む) を盗み出すという、Qbot の光速攻撃について明らかにしている。

FollinaQbot という、かなり強力な組み合わせが動き始めたようです。Follina に関しては、すでに欧州政府と米国の地方自治体が、RTF 文書を介したフィッシング・キャンペーンのターゲットになっているようです。また、Qbot に関しては、悪意のマクロを含む Microsoft Office ドキュメントを用いていましたが、すでに MS Installer の悪用へと戦術を切り替えていたようです。そこに Follina の悪用が加わる状況に変化しているようです。

%d bloggers like this: