Phemedrone Stealer: Exploiting CVE-2023-36025 for Defense Evasion
2024/01/14 SecurityOnline — 先日の Trend Micro のサイバー・セキュリティ研究者たちの発見により、サイバー脅威の世界における懸念すべき展開が明らかになった。脆弱性 CVE-2023-36025 の積極的な悪用が確認され、Phemedrone Stealer として呼ばれる未知のマルウェアの亜種が増殖していることが判明したのだ。
Phemedrone Stealer はステルス型のマルウェアであり、主な標的は Web ブラウザ/暗号通貨ウォレットや、Telegram/Steam/Discord などの人気のメッセージ・プラットフォームである。この多面的なマルウェアの機能は、データの窃取とスクリーンショットのキャプチャに加えて、ハードウェアの詳細/場所/OS 仕様といった、重要なシステム情報の収集にある。
そして、窃取されたデータは、Telegram や独自の Command and Control (C2) サーバを通じて、攻撃者へと秘密裏に送信される。Phemedrone Stealer の特徴は、C#で書かれるオープンソースであり、GitHub と Telegram で活発にメンテナンスされている点にある。
Phemedrone Stealer の成功の背景には、Microsoft Windows Defender SmartScreen に影響を及ぼす脆弱性 CVE-2023-36025 の悪用がある。この脆弱性は、インターネット・ショートカット (.url) ファイルのチェックと関連する、プロンプトの欠如に起因するものであり、これを利用する脅威アクターたちにより、悪意の “.url” ファイルが作成される。
これらのファイルにより、Windows Defender SmartScreen の警告/検知が効果的に回避され、悪意のスクリプトのダウンロー/実行へといたる。Microsoft は 2023年11月14日に、脆弱性 CVE-2023-36025 に対するパッチを適用したが、野放し状態での悪用が出現している。そのため CISA は、この脆弱性を、Known Exploited Vulnerabilities (KEV) リストに取り込んでいる。
Phemedrone Stealer の感染チェーンは、Discord のようなプラットフォームやFileTransfer.io のようなクラウド・サービス上で、悪意のインターネット・ショートカット・ファイルをホストすることから始まる。これらのファイルは、URL 短縮ツールを使って偽装されていることが多く、疑うことを知らないユーザーが、このような攻撃の被害に遭うことは多々ある。そして、ユーザーが悪意の “.url” ファイルを開くと、CVE-2023-36025 の悪用が始まる。
悪意の “.url” ファイルが実行されると、攻撃者が管理するサーバに Phemedrone Stealer が接続され、Control Panel Item (.cpl) ファイルがダウンロードされ実行される。Windows Defender SmartScreen のセキュリティ・プロンプトを回避するために、攻撃者は悪意のペイロードの配信メカニズムの一部として、”.cpl” ファイルを巧みに利用する。MITRE ATT&CK テクニック T1218.002 を活用し、攻撃者は Windows Control Panel プロセス・バイナリ (control.exe) を悪用して、これらの “.cpl” ファイルを実行していく。
この攻撃の連鎖は、ここでは終わらない。悪意の “.cpl” ファイルが実行されると、”rundll32.exe” が呼び出されて DLL が実行される。この悪意の DLL はローダーとして機能し、Windows PowerShell を呼び出し、GitHub にホストされている攻撃の次のステップをダウンロードして実行する。この次のステップは、”DATA3.txt” という名前の別の PowerShell ローダーである。
“DATA3.txt” は難読化技術を使用しているため、静的解析による真の目的の解読は困難だ。静的解析と動的解析を組み合わせることで、研究者たちは GitHub がホストするローダーの難読化の解除に成功した。その結果として、同じ GitHub リポジトリでホストされている ZIP ファイルが発見された。この ZIP ファイルは、正規の WerFaultSecure.exe、および、悪意の Wer.dll、RC4で暗号化された第2段階のローダー Secure.pdf という、3つのファイルで構成されている。
Wer.dll は、スケジュールされたタスクを作成することで、永続性を実現するための重要な役割を果たす。このローダーは、DLL サイドローディングを採用しており、オペレーティング・システムを騙すことで、正規のファイルではなく悪意のあるファイルをロードさせる。この手法には、CRC-32 ハッシュ・アルゴリズムを用いて、実行時に必要な API を動的にインポートするという、動的 API リゾルビングも含まれる。文字列の復号化には、XOR ベースのアルゴリズムが使用され、さらに複雑なレイヤーが追加される。
Phemedrone Stealer が得意とするのは、Web ブラウザのデータ/暗号通貨ウォレットの詳細/Discord トークンなどの、さまざまな機密情報の取得である。具体的に言うと、IService の全サブクラスを動的に見つけ出し、効率的に処理するカスタム・メソッドを採用している。そして、データの収集後に、Telegram API を介したネットワーク・トラフィックにより、それらの情報を圧縮して流出させる。
Phemedrone Stealer のようなマルウェアを導入するサイバー犯罪者が悪用する、脆弱性 CVE-2023-36025 は深刻な脅威であり続けている。このケースでは、オープンソースのマルウェアと、公開された PoC エクスプロイトが相互に関連するという、いまの状況が浮き彫りにされている。こうしたリスクを軽減するためには、Microsoft Windows の速やかなアップデートが必要である。絶えず変化するサイバー・セキュリティの状況において、警戒を怠ってはならない。
新たなマルウェア Phemedrone Stealer が登場とのことです。その名前からして、情報スティーラーで有ることに間違いなく、さらに、Windows Defender SmartScreen に影響を及ぼす脆弱性 CVE-2023-36025 を悪用しているようです。この脆弱性は、2023年11月の Patch Tuesday でパッチ適用されていますが、放置されている環境があり、悪用が続いているのでしょう。
IoT OT Security News 
You must be logged in to post a comment.