New PowerShell Backdoor Poses as Part of Windows Update Process
2022/10/19 SecurityWeek — サイバーセキュリティ企業である SafeBreach は、Windows のアップデート・プロセスの一部として自身を偽装し、検出を回避する新たな PowerShell バックドアについて警告を発表した。このバックドアは、洗練された未知の脅威者により操作され、リンクされた Word 文書を通じて配布される。
この文書が開かれると、文書内のマクロコードが被害者のマシンに PowerShell スクリプトをドロップし、Windows アップデートの一部であると主張するスケジュール・タスクを作成し、偽のアップデート・フォルダからスクリプトを実行する。
このスクリプトは、別の PowerShell スクリプトを実行するように設計されているが、スケジュール・タスクが実行される前に、別の2つのスクリプトがシステム上にドロップされる。
SafeBreach は、「PowerShell スクリプトの内容は、Word 文書内のテキスト・ボックスに格納されており、同じ偽の更新ディレクトリに保存される」と述べている。
同社の研究者たちは、2つのスクリプトを分析する中で、いくつかのコーディング・ミスを発見し、潜在的な被害者数を判断できるようになったという。1つのスクリプトは70以上のシステムに、もう1つは50以上のシステムに、インストールされていた可能性が高いとのことだ。
SafeBreach によると、このスクリプトを使用する攻撃者は、情報収集/ローカルユーザの列挙/ファイルのリストアップ/ファイルの削除/Active Directory ユーザーの列挙などの、特定のコマンドを実行したとのことだ。
SafeBreach は、この PowerShell バックドアに関連する Indicators of Compromise (IoC) を公開し、完全に検出不可能であることを警告している。
Windows のアップデートといえば、月に一度の Patch Tuesday なので、アップデート・プロセスの一部として自身を偽装する PowerShell バックドアがあっても、それを取り込んでしまう機会は少ないと思います。しかし、10月12日の「Microsoft が Security Update Guide を RSS フィードで提供:最新のセキュリティ・リスクを共有」をみると、アップデートが月イチから随時へと切り替わる可能性も感じてしまいます。それは、とても良いことだと思いますが、この記事で指摘されているマルウェアなどが、紛れ込む可能性も高まるでしょう。
IoT OT Security News 
You must be logged in to post a comment.