Government, Union-Themed Lures Used to Deliver Cobalt Strike Payloads
2022/09/29 InfoSecurity — 2022年8月に Cisco Talos の研究者たちは、モジュール化された攻撃手法により Cobalt Strike ビーコンを配信し、後続の攻撃に使用するという、悪質なキャンペーンを発見した。同社は 9月28日に、このキャンペーンについて新たなアドバイザリを発表し、このキャンペーンの背後にいる脅威アクターは、フィッシング・メールを使用していたと述べた。最初の攻撃ベクターとして、悪意の Microsoft Word 文書を添付して、米国の政府組織またはニュージーランドの労働組合に成りすましているという。
そして、この悪意のある添付ファイルは、Microsoft Office のリモートコード実行の脆弱性 CVE-2017-0199 を悪用しようとするものだったという。Cisco Talos は、「被害者が悪意の Word 文書を開くと、攻撃者が管理する Bitbucket リポジトリでホストされている、悪意の Word テンプレートがダウンロードされる」とのべている。
同社は、最初の感染に続いて、このキャンペーンでは2つの攻撃手法が採用されていることを発見したと述べている。
1つ目は、ダウンロードした DOTM テンプレートに埋め込まれた悪意の Visual Basic (VB) スクリプトを実行し、他の難読化 VB/PowerShell スクリプトの生成と実行を引き起こすというものだ。
2つ目は、悪意の VB が、悪意の PowerShell コマンドを実行する Windows 実行ファイルをダウンロード/実行し、ペイロードをダウンロード/実行するものだ。
Talos のアドバイザリは、「発見されたペイロードは、Cobalt Strike ビーコンのリーク版である。このビーコンの構成は、任意のバイナリの標的型プロセス・インジェクションを実行するコマンドを含み、高評価のドメインが設定されており、ビーコンのトラフィックを偽装するリダイレクト手法を示している」と述べている。
このキャンペーンで発見された主要ペイロードは Cobalt Strike ビーコンだが、この脅威アクターは、RedLine 情報窃取マルウェアと、Amadey ボットネット実行ファイルを、ペイロードとして使用していたと、Talos は述べている。
Talos は、「このキャンペーンは、被害者のシステム・メモリで悪意のスクリプトを生成/実行するという手法を用いた、典型的な驚異アクターの事例である。防御者は、ファイルレス脅威から効果的に保護するために、組織の防御に行動保護機能を導入する必要がある」と指摘している。
さらに Talos は、Cobalt Strike ビーコンへの警戒を怠らず、攻撃の感染連鎖の初期段階において、脅威行為者の試みを阻止するよう設計された多層防御を導入するよう、ユーザー組織に警告している。
このアドバイザリは、APT41 として知られる中国の高度持続的脅威 (APT) が、Cobalt Strike を使用して、世界中の少なくとも 13 の組織を標的にしていたことを、Group-IBが明らかにしてから数週間後に出されたものである。
Wikipedia によると、Bitbucket とは Atlassian がホストする、GitHub ベースのソースコード・リポジトリとのことです。ここに展開された悪意の Word 文書が、脆弱性 CVE-2017-0199 を悪用して、Cobalt Strike ペイロードをダウンロード/実行するとのことです。8月16日の「2022年 Q2 のサイバー攻撃を分析:Microsoft の古い脆弱性が最も多く狙われた」で、この CVE-2017-0199 を含む、古い脆弱性に関する解説が提供されています。そこには、「2017年の Microsoft Office/WordPad のリモートコード実行の脆弱性 CVE-2017-0199 は 60,132回の攻撃に遭遇している」と記されています。また、CISA の KEV リストが始まった 2021年11月3日の時点で、脆弱性 CVE-2017-0199 は登録されています。
IoT OT Security News 
You must be logged in to post a comment.