Microsoft MSHTML Flaw Exploited to Deliver MerkSpy Spyware Tool
2024/07/03 TheHackerNews — Microsoft MSHTML の脆弱性 CVE-2021-40444 を悪用して、MerkSpy という監視ツールを配信する、未知の脅威アクターが発見された。このキャンペーンでは、カナダ/インド/ポーランド/米国のユーザーが、主要ターゲットにされているという。Fortinet FortiGuard Labs の研究者である Cara Lin は、「MerkSpy は、ユーザーの活動を密かに監視して、機密情報を取得することに加えて、侵害したシステム上で永続性を確立するよう設計されている」と、先週に公開されたレポートで述べている。
攻撃チェーンの起点となるのは、ソフトウェア・エンジニアの職務経歴書などを装う、Microsoft Word ファイルだという。
そして、このファイルを開くと、脆弱性 CVE-2021-40444 が悪用される。この脆弱性は、MSHTML に存在する深刻度の高い欠陥であり、ユーザーの操作を必要としないリモートコード実行の可能性を生じるものだ。すでに Microsoft は、Patch Tuesday September 2021 の更新プログラムの一部として、この欠陥に対処している。
今回のケースでは、リモート・サーバから悪意の HTML ファイル “olerender.html” がダウンロードされ、OS のバージョンをチェックした後に、埋め込まれたシェルコードが実行されている。
Lin は、「”Olerender.html” は、”VirtualProtect” を悪用してメモリ・パーミッションを変更し、デコードされたシェルコードを安全にメモリに書き込めるようにする。続いて、”CreateThread” により、注入されたシェルコードが実行され、攻撃者のサーバから次の段階のペイロードをダウンロードして実行するための基盤が整えられる。このプロセスにより、悪意のコードがシームレスに実行され、さらなる悪用が容易になる」と詳述している。
このシェルコードは、”GoogleUpdate” という欺瞞的なタイトルのファイルに対する、ダウンローダーとして機能する。その実態は、セキュリティ・ソフトウェアによる検出を回避し、MerkSpy をメモリにロードするインジェクター・ペイロードを隠し持つものである。
MerkSpy は、Windows レジストリを変更することで、システム起動時の自動的な起動を達成し 、ホスト上での永続性を確立する。また、機密情報を密かに取得して、ユーザーの活動を監視し、脅威アクターの管理下にある外部サーバへと、データを流出させる機能も備えている。
流出される情報に含まれるものには、スクリーンショット/キーストローク/Google Chrome に保存されたログイン認証情報/MetaMask ブラウザ拡張機能からのデータなどがある。それらは全て、”45.89.53[.]46/google/update[.]php” という URL に送信される。
その一方で、Broadcom 傘の Symantec は、米国のユーザーをターゲットにした、スミッシング・キャンペーンに関するレポートを公開している。そのキャンペーンでは、Apple を装う攻撃者が、不審な SMS メッセージをターゲットに送りつけ、サービスの利用を継続させるために必要だと欺き、クレデンシャル採取ページ “signin.authen-connexion[.]info/icloud” をクリックするよう誘導している。
Symantic は、「この悪質な Web サイトには、デスクトップとモバイルのブラウザからアクセスできるようになっている。攻撃者は、正規のものを装うために CAPTCHA を実装している。CAPTCHA を完了したユーザーは、古い iCloud ログイン・テンプレートを模倣した Web ページに誘導される」と、このキャンペーンの手口について説明している。
MSHTML の脆弱性 CVE-2021-40444 を悪用する攻撃者が、スパイウェア MerkSpy を配布しているとのことです。新たな脅威アクターのようなので、その狙いも絞りきれていないようでが、APT による犯行だと思われます。なお、脆弱性 CVE-2021-40444 に関しては、2021年に3本ほど記事がポストされてますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.