Windows の MoTW ゼロデイを悪用:Qbot 投下フィッシング・キャンペーンが発覚

New attacks use Windows security bypass zero-day to drop malware

2022/11/19 BleepingComputer — 新たに発見されたフィッシング攻撃は、Windows のゼロデイ脆弱性を利用して、Mark of the Web のセキュリティ警告を表示せずに、マルウェア Qbot をドロップするものだ。Web やメールなどを介して、信頼できないリモートからのファイルがダウンロードされると、Windows は Mark of the Web (MoTW) と呼ばれる特別フラグを、それらのファイルに追加する。


この Mark of the Web (MoTW) は、URL セキュリティ・ゾーンやダウンロード URL などの、ファイルの参照元に関する情報を取り込んだ代替のデータ・ストリームである。そして、MoTW 属性を持つファイルをユーザーが開こうとすると、Windows はセキュリティ警告を表示し、そのファイルのオープンに関する可否を確認する。

Windows の警告は、「インターネットから得られるファイルは有用だが、このファイル?タイプはコンピュータに損害を与える可能性がある。ソースが信頼できない場合には、このファイルを開かないほしい」というものだ。

Windows Mark of the Web security warning
Windows Mark of the Web security warning
Source: BleepingComputer

10月に HP の脅威情報チームは、あるフィッシング攻撃において JavaScript ファイルが悪用され、Magniber ランサムウェアが配布されていることを報告した。

これらの JavaScript ファイルは、Web サイトで使用されているものとは異なり、拡張子が [.JS] のスタンドアロン・ファイルであり、Windows Script Host (wscript.exe) を使用して実行される。

ANALYGENCE の Senior Vulnerability Analyst である Will Dormann は、このファイルを分析した結果として、Mark of the Web セキュリティ警告が表示されない、新しい Windows ゼロデイ脆弱性が悪用されていることを突き止めた。

Microsoft のサポート記事に記載されているように、この脆弱性の悪用は、エンベッドされた base 64 エンコード署名ブロックを使って、JS ファイルを署名することで可能になる。

JavaScript file used to install the Magniber Ransomware
JavaScript file used to install the Magniber Ransomware
Source: BleepingComputer​​

そして、これらの不正な署名の1つを持つ悪意のファイルを開くと、MoTW セキュリティ警告の表示に換えて、Microsoft SmartScreen によるフラグが立てられ、Windows はプログラムの実行を自動的に許可してしまう。

QBot マルウェア・キャンペーンは Windows ゼロデイを悪用

最近の QBot マルウェアのフィッシング・キャンペーンでは、ISO イメージを含むパスワードで保護された ZIP アーカイブが配布されている。これらの ISO イメージには、マルウェアをインストールするための、Windows ショートカットと DLL が含まれている。

ISO イメージに関しては、Mark of the Web が正しく伝播されないため、マルウェアの配布に使用されており、そこの含まれるファイルが Windows のセキュリティ警告を回避する状況となっていた。

その後、このバグを修正したセキュリティ更新プログラムがリリースされ、開いた ISO イメージ内の全てのファイルに MoTW フラグが伝搬され、このセキュリティ・バイパスは修正されている。

しかし、セキュリティ研究者である ProxyLife が発見した、新しい QBot フィッシング・キャンペーンのオペレーターは、不正に署名された JS ファイルを配布することで、Windows Mark of the Web のゼロデイ脆弱性を悪用している。

この新しいフィッシング・キャンペーンは、疑惑のドキュメントへのリンクと、ファイルへのパスワードを含む、電子メールから開始される。

Phishing email with a link to download malicious archive
Phishing email with a link to download malicious archive
Source: BleepingComputer

このリンクをクリックすると、別の ZIP ファイルを含む、パスワードで保護された ZIP アーカイブがダウンロードされ、その後に IMG ファイルがダウンロードされる。

Windows 10 以降では、IMG/ISO などのディスクイメージ・ファイルがダブルクリックされると、OS は自動的に、新しいドライブレターとしてマウントする。

以下の図のように、この IMG ファイルには、.js ファイル (‘WW.js’) と、テキスト・ファイル (‘data.txt’)、そして .tmp ファイル (‘repparentlance.tmp’) に名前を変えた、DLL ファイルが入った別のフォルダがある。ただし、ファイル名はキャンペーンごとに変更されるため、固定的なものと考えてはいけない。

Mounted IMG file
Mounted IMG file
Source: BleepingComputer

この JS ファイルに含まれる VB スクリプトは、[vR32] 文字列を含む data.txt ファイルを読み込み、その内容を shellexecute コマンドのパラメータに付加して、[port/resemblance.tmp] DLL ファイルを読み込ませる。この悪意の電子メールから再構築された、コマンドは次のとおりである。

regSvR32 port-resemblance.tmp

JS file with a malformed signature to exploit Windows zero-day
JS file with a malformed signature to exploit Windows zero-day
Source: BleepingComputer


この JS ファイルはインターネットから発信されているため、Windows で起動すると Mark of the Web セキュリティ警告が表示される。

しかし、上記の JS スクリプトの画像から分かるように、Windows のゼロデイ脆弱性を悪用する Magniber ランサムウェア・キャンペーンと同様に、不正なキーを用いた署名がある。

この不正な署名により、以下の起動したプロセスで示されるように、Windows からのセキュリティ警告は表示されずに、JS スクリプトは実行され、QBot マルウェアがロードされることになる。

Regsvr32.exe launching the QBot DLL
Regsvr32.exe launching the QBot DLL
Source: BleepingComputer

しばらくすると、このマルウェア・ローダーは、QBot DLL を正規の Windows プロセスに注入して、wermgr.exe や AtBroker.exe などの検出を回避するようになる。

このゼロデイ脆弱性については、Microsoft は 10月の時点で認識している。他のマルウェア・キャンペーンでも、このゼロデイが悪用されていることから、2022年12月のPatch Tuesday の一部として、このバグが修正されることが期待されている。

マルウェア QBot について

Qakbot とも呼ばれる QBot は、当初はバンキング・トロジャンとして開発されたWindows マルウェアだったが、いまはマルウェア・ドロッパーとして進化を遂げている。

ロードされた QBot は、バックグラウンドで静かに動作しながら、他のフィッシング攻撃で使用する電子メールを盗み、また、Brute RatelCobalt Strike などの追加のペイロードをインストールする。

それらのポスト・エクスプロイト・ツールキット (Brute Ratel/Cobalt Strike) がインストールされると、データ窃盗やランサムウェア攻撃などの、より破壊的な攻撃が生じるようになる。

過去においては、Egregor/Prolock ランサムウェアが QBot オペレーターと提携し、企業ネットワークにアクセスしていた。最近では、QBot 感染後のネットワークで、Black Basta ランサムウェア攻撃が確認されている。

最近の Microsoft の脆弱性として、この Mark of the Web (MoTW) ゼロデイが、とても気になっています。まず、このブログに MoTW が登場した履歴ですが、以下の通りであり、春先の VBA ディフォルト OFF のときに登場し、10月にゼロデイが見つかり、すべてが解決していないというのが、いまの状況です。そして、QBot による、この脆弱性を狙うキャンペーンが始まったとのことです。

2/7: Microsoft の方針転換:Office VBA MoTW マクロはディフォルトで OFF
10/30: Windows の MoTW ゼロデイ:Magniber ランサムウェアを 0Patch が阻止?
11/9: Microsoft の MoTW ゼロデイ脆弱性:VBA Macro ブロックに関連する重要機能

とても重要な役割を担う MoTW なので、12月の Patch Tuesday で FIX してほしいですね。

%d bloggers like this: