Windows の脆弱性 Follina:Qbot/AsyncRAT などによる悪用が観測された

‘Follina’ Vulnerability Exploited to Deliver Qbot, AsyncRAT, Other Malware

2022/06/09 SecurityWeek — 最近になって公開された Windows の脆弱性を Follina (CVE-2022-30190) 悪用する、複数のマルウェアが配信されているが、現時点においても公式パッチが提供されていない状態である。この脆弱性は、Microsoft Support Diagnostic Tool (MSDT) に関連しており、特別に細工されたドキュメントを介した、リモートコード実行に悪用される可能性がある。

このセキュリティホールの根本的な原因は、少なくとも2年前から認識されていたようだが、これまでの Microsoft は、この問題をほとんど無視してきたようだ。この脆弱性の存在は、それを悪用する文書を、ある研究者が発見したことで明らかになった。この Follina を悪用する攻撃は4月に始まり、インドとロシアのユーザーが標的にされたことが示唆されている。

今週に Proofpoint は、TA57 0として追跡されている大規模サイバー犯罪グループが CVE-2022-30190 を悪用し、情報窃取ツールである Qbot (Qakbot/Pinkslipbot) を広範囲に配信したと報告ししている。このマルウェアは、侵害したネットワーク上で拡散することが可能であり、複数のサイバー犯罪グループがイニシャル・アクセスのために活用している。

攻撃者は、乗っ取った電子メールの会話に、特別に細工した HTML ファイルを添付することで、このエクスプロイトを配信する。SANS Institute は、一連の攻撃に関する技術的分析を、IoC (indicators of compromise) と共に発表している。

Follina exploited to deliver Qbot

以前にも Proofpoint は、中国とつながりのある脅威アクター TA413 が、チベット人コミュニティを狙った攻撃で、Follina を悪用していたと報告している。今週には Broadcom 傘下の Symantec も、この欠陥を悪意のハッカーが悪用し、攻撃者が標的システムを制御するための RAT である、AsyncRAT を配信したことを報告している。数多くの脅威者集団に、Qbot と AsyncRAT が多用されている。また、Symantec は、脆弱性 CVE-2022-30190 は幅広く悪用され、無名の情報窃取者による攻撃も観測されたという。

依然として Microsoft は、正式な修正プログラムを公開していないが、回避策/緩和策に加えて、サードパーティ製のパッチが利用可能である。この Follina の影響を受けることが製品としては、Office Pro Plus と Office 2013/2016/2019/2021 が確認されている。

タイトルに Follina が入るポストが、これで6本目になってしましました。第一弾が5月30日の「Microsoft Office のゼロデイ脆弱性 Follina:マクロとは別経路で PowerShell コードを実行」で、直近が 6月7日の「Windows のゼロデイ脆弱性 Follina CVE-2022-30190:Qbot のフィッシング攻撃が始まった」となっています。ことの発端は、ベラルーシの IP アドレスから VirusTotal にアップロードされた悪意の Word 文書ですが、この脆弱性の詳細が明らかになるにつれて、具体的な攻撃に関する報道が増えているようです。

%d bloggers like this: