Windows の脆弱性 Follina CVE-2022-30190 を悪用する Rozena バックドアに注意!

Hackers Exploiting Follina Bug to Deploy Rozena Backdoor

2022/07/09 TheHackerNews — 新たに観測されたフィッシング・キャンペーンは、先日に公開された脆弱性 Follina (CVE-2022-30190) を悪用し、これまで文書化されていなかったバックドアを、Windows システム上に配布するものだった。今週に発表したレポートで、Fortinet FortiGuard Labs の 研究者である Cara Lin は、「Rozena は、攻撃者のマシンに戻ってリモートシェル接続を注入することが可能なバックドア・マルウェアだ」と述べている。

Microsoft Windows Support Diagnostic Tool (MSDT) に存在するリモートコード実行の脆弱性 CVE-2022-30190 は、2022年5月末に明るみになり、現在時点でパッチは適用されているが、この数週間で激しい攻撃にさらされてきている。

Fortinet が観測した最新の攻撃チェーンの出発点は、兵器化された Office 文書である。それを開くと、Discord CDN URL に接続して HTML ファイル index.htm を取得し、続いて PowerShell コマンドを悪用して診断ツールを呼び出し、同じ CDN 添付スペースから次のステージのためのペイロードをダウンロードするというものだ。

そこに含まれるのは、Rozena インプラント (Word.exe) と、バッチファイル (cd.bat) であり、後者により、MSDT プロセスの終了、Windowsレジストリの変更によるバックドア持続性の確立、おとりとしての無害な Word ドキュメントのダウンロードなどが処理される。

このマルウェアのコア機能は、攻撃者のホスト “microsofto.duckdns[.]org” にリバースシェルを起動するシェルコードを注入し、攻撃者による監視と情報取得に必要なシステムを、最終的に制御できるようにするのと同時に、侵害したシステムへのバックドアを維持することにある。

悪意の Word 文書を介してマルウェアを配布する、脆弱性 Follina の悪用は、ソーシャル・エンジニアリング攻撃として発生する。具体的には、Microsoft Excel/Windows ショートカット (LNK)/ISO イメージファイルをドロッパーとして悪用し、Emotet/QBot/IcedID/Bumblebee などのマルウェアを、被害者のデバイスにデプロイする。

電子メールを介して配布されると言われている、数種のドロッパーの添付ファイルの中に、パスワードで保護された ZIP ファイルや、HTMLファイルが含まれ、それらがオープンされたときに、上記のドロッパーが抽出される。

4月初旬に発見された攻撃では、XLM マクロを含む Excel ファイルが目立っていたが、その頃に Microsoft はデフォルトでマクロをブロックすることを決定した。したがって脅威アクターは、.LNK や .ISO ファイルだけでなく、HTML スマグリングなどの代替方法に、軸足を移すことを余儀なくされたと言われている。


先月に Cyble は、Quantumというマルウェア・ツールの詳細を開示した。それは、アンダーグラウンド・フォーラムで販売され、サイバー犯罪者に対して悪意の .LNK/.ISO ファイルを作成する能力を与えるものだ。

マクロというものは、フィッシング・メールなどを介して、ランサムウェアなどのマルウェアを Windows システムにインストールしようとする敵対者にとって、実装済みの攻撃経路であることに注意してほしい。

しかし Microsoft は、インターネットからダウンロードしたファイルの、Office マクロを無効にする計画を一時中断している。同社は The Hacker News に対して、ユーザビリティを高めるための追加変更を行うために時間をかけていると述べている。

脆弱性 Follina と Office マクロが絡む、とても厄介なキャンペーンが立ち上がったようです。7月7日の「Microsoft Office の VBA マクロ・ブロック:突然のロールバックと大混乱のユーザー」にあるように、Microsoft は VBA マクロの取り扱いに苦慮しています。そこに、Rozena バックドアを展開する動きが発生しているわけですが、とにかく、インターネットからダウンロードした Office ファイルは、慎重に取り扱う他に、身を守る手段は無さそうですね。

%d bloggers like this: