Microsoft Disables MSIX App Installer Protocol Widely Used in Malware Attacks
2023/12/29 TheHackerNews — 12月28日 (木) に Microsoft が発表したのは、ms-appinstaller プロトコル・ハンドラを悪用し、複数の脅威アクターがマルウェアを配布したことで、ms-appinstaller プロトコル・ハンドラを、デフォルトで再無効化するというものだ。Microsoft の Threat Intelligence Team は、「現時点の ms-appinstaller プロトコル・ハンドラの実装を、脅威アクターたちが悪用し、ランサムウェアの配布につながる可能性のあるマルウェアの、アクセス・ベクターとしていることが確認された」と述べている。
さらに、複数のサイバー犯罪者が、MSIX ファイル形式と ms-appinstaller プロトコル・ハンドラを利用する、マルウェア・キットをサービスとして販売していると、同社は指摘している。新たに発表された変更は、App Installer のバージョン 1.21.3421.0 以降で有効化される。
2023年11月中旬以降において、少なくとも4つのハッキング・グループが、App Installer サービスを悪用し、人手による操作を伴うランサムウェアの侵入経路として、利用していることが確認されている。
Storm-0569 は、検索エンジン最適化 (SEO) ポイズニングを通じて、Zoom/Tableau/TeamViewer/AnyDesk になりすましたサイトを展開し、 BATLOADER を伝播する IAB (initial access broker) である。そして、配布したマルウェアを介して Cobalt Strike をダウンロードさせ、Black Basta ランサムウェアを展開する Storm-0506 へのアクセスを破壊する。
Storm-1113 は、Zoom を装う偽の MSIX インストーラーを介して、EugenLoader (別名 FakeBat) を配布する IAB である。そして、さまざまなステラー・マルウェアや RAT への動線として機能する。
Sangria Tempest (別名 Carbon Spider/FIN7) は、Storm-1113 の EugenLoader を使用して Carbanak をドロップし、Gracewire と呼ばれるインプラントを配信する。また、このグループは Google 広告を悪用してユーザーを誘い、不正なランディング・ページから悪意の MSIX アプリケーション・パッケージをダウンロードさせることで、POWERTRASH を配布する。
Storm-1674 は、TeamsPhisher ツールを悪用する Teams メッセージを通じて、Microsoft OneDrive/SharePoint を装う偽のランディング・ページを送信する IAB である。続いて、PDF ファイルを開くよう受信者に促し、それらがクリックされると Adobe Acrobat Reader の更新を装い、SectopRAT や DarkGate などのペイロードを含む、悪意の MSIX インストーラをダウンロードするよう促すという。
Microsoft は、Storm-1113 について、Sangria Tempest や Storm-1674 などの脅威アクターに対して、著名なソフトウェアを模倣する悪意のインストーラーやランディングページのフレームワークを提供する、XXX-as-a-Service にも手を染めていると説明している。
その一方で、2023年10月に Elastic Security Labs は、Google Chrome/Microsoft Edge/Brave/Grammarly/Cisco Webex 用の、偽の MSIX Windows アプリパッケージ・ファイルが、GHOSTPULSE と呼ばれるマルウェア・ローダーの配布に使用されたキャンペーンについて詳述している。
Microsoft Windows の MSIX ms-appinstaller プロトコル・ハンドラが無効化にされたのは、今回が初めてのことではない。2022年2月に Microsoft は、Emotet/TrickBot/Bazaloader を配布する脅威アクターたちが、このプロトコルを武器化することを防ぐために、同じ措置を取っていた。
同社は、「Microsoft Defender SmartScreen や、実行可能ファイル形式のダウンロードに対するブラウザ・ビルトインの警告などの、マルウェアからユーザーを守るためのメカニズムの回避が目的である。そのために脅威アクターたちは、ms-appinstaller プロトコル・ハンドラのベクターを選択したのだろう」と述べている。
インストーラーのファイル形式 MSIX が、脅威アクターたちに狙われて、武器化されていることを受けて、Microsoft は判断を下したとのことです。この種のファイル形式が、マルウエアの侵入経路として悪用されるのは、よくあることだと思えます。とにかく、信頼できる適切なロケーションから、アップデートなどをダウンロードする必要があります。よろしければ、MSIX で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.