営業担当者へ連絡
ホーム   /  Cybersecurity   / CVE-2017-0199を利用したマルスパムキャンペーンが製造業、製薬業、その他の重要な産業を標的に
CVE-2017-0199を利用したマルスパムキャンペーンが製造業、製薬業、その他の重要な産業を標的に

CVE-2017-0199を利用したマルスパムキャンペーンが製造業、製薬業、その他の重要な産業を標的に

著者 パヴァンクマール・チャウダリ
パヴァンクマール・チャウダリ
Cybersecurity

クイックヒールセキュリティラボは、有名な脆弱性を積極的に悪用するさまざまなメールキャンペーンに遭遇しました。 CVE-2017-0199 インドの著名な民間企業を標的とした攻撃です。CVE-2017-0199は、2017年11月に2017つの異なるセキュリティ企業によって報告されたゼロデイ脆弱性です。MS Officeのほぼすべてのバージョンがこの脆弱性の影響を受けていました。MicrosoftはXNUMX年XNUMX月XNUMX日にこの脆弱性に対するパッチを公開していました。いつものように、多くの攻撃者がスパム攻撃キャンペーンでこの脆弱性を悪用し始めました。以下は、Quick Heal Security Labsによるこのキャンペーンの分析です。

攻撃チェーン

図1. 攻撃チェーン
図1. 攻撃チェーン

 

技術的な詳細

この脆弱性(CVE-2017-0199)は、 HTA OLE2リンクオブジェクトが埋め込まれた細工されたRTFファイルを解析する際に、この脆弱性が悪用される可能性があります。攻撃者は、doc拡張子を持つ細工されたRTFファイルを使用してこの脆弱性を悪用します。このRTFファイルには、図2に示すように、OLE2リンクオブジェクトが埋め込まれています。

図2. 埋め込まれたOLE2linkオブジェクト
図2. 埋め込まれたOLE2linkオブジェクト

この埋め込まれた OLE2 リンク オブジェクトは、図 3 に示すように、リモートでホストされている HTA ファイルを指します。

図3. リモートHTAファイルへのリンク
図3. リモートHTAファイルへのリンク

 

RTFエクスプロイト分析

このキャンペーンにおける攻撃は、エクスプロイトRTFドキュメントを添付したスパムメールから始まります。このRTFファイルは、図2と図3に示す内容と類似しています。図4は、スパムメールのスナップショットです。

図4. スパムメール
図4. スパムメール

 

MS WordがRTF添付ファイルを開くと、エクスプロイトコードはリモートでホストされているHTAファイルを要求します。図5は、リモートサーバーへのリクエスト後にダウンロードされたファイルを示しています。

図5_1

図5. 悪意のある偽のRTFファイル
図5. 悪意のある偽のRTFファイル

ダウンロードされたファイルの最初のバイトを解析したところ、RTFファイルであるものの、MS Wordではそのように処理されないようです。偽のRTFファイルの下部にスクリプトが埋め込まれており、このスクリプトは「mshta.exe' PowerShell 経由でマルウェアをダウンロードします。

ペイロード分析

エクスプロイトが成功すると、マルウェアのペイロードはPowerShellを使用してダウンロードされます。PowerShellはダウンロードされたマルウェアファイルを%APPDATA%\jacob.exeにコピーし、実行します。永続化のため、「jacob.vbe」ファイルをスタートアップフォルダにコピーします。このjacob.exeはキーロギングを実行し、プロセスアクティビティを監視し、%AppData%\Roaming\remcosにあるlogs.datファイルに記録します。記録されたすべてのログは、マルウェアによってリモートCnCサーバー(212.7.208.88)に送信されます。当社の分析によると、このマルウェアは、 remcos RATファミリー.

図 6 はマルウェアのキーロギング活動を示しています。

図6. キーロギング活動
図6. キーロギング活動

 

シグネチャベースの検出を回避する

シグネチャベースの検出を回避するため、マルウェア攻撃者はRTFの難読化を通じてエクスプロイトを継続的に進化させています。これを実現する手法は複数存在し、そのうちのいくつかを以下に示します。

難読化手法1

URL モニカ CLSID は制御ワード '\*' を使用して難読化されます。

図7。
図7。

難読化手法2

URL モニカー CLSID を難読化するためにダミー タグが追加されます。

図8。
図8。

難読化手法3

タブ制御ワードは、URL 文字列を難読化するために使用されます。

図9。
図9。

 

対象となる組織

図 10 は、悪意のあるキャンペーンの標的となった組織の統計を示しています。

図10
図10。

製造業が最も好まれるターゲットのようで、次いで医薬品、輸出、ホテルとなっている。

 

あらゆるオフィスの功績を独占

公開後、このキャンペーンで使用されたエクスプロイトの検出数は日々増加しています。これは、多くのマルウェアアクターがこの脆弱性を悪用していることを示しています。以下の統計は、このエクスプロイトの使用が増加していることを示しています。

 1年第2017四半期のOfficeエクスプロイト統計

図11。
図11。

2年第2017四半期のOfficeエクスプロイト統計

図12。
図12。

図11に示すように、CVE-2012-0158が最も多くの検出数を記録しています。実際、過去3年間、最も多くの検出数を記録しています。しかし、第2四半期(図12)では、CVE-2017-0199が最も多くの検出数を記録し、短期間で広く知られるようになりました。

マルウェア攻撃者は、MS Officeの脆弱性CVE-2017-0199を悪用した、最も確実かつ顕著なマルウェア拡散方法を発見しました。攻撃者は容易に入手可能なPOCを用いて容易にエクスプロイトを作成し、様々なマルウェアを拡散しています。ユーザーの皆様には、Microsoftの最新のセキュリティ更新プログラムを適用し、ウイルス対策ソフトウェアを最新の状態に保つことをお勧めします。

妥協の指標

  • 862172F84680456A0BA662F0FE3F56BF
  • 4705476555FC8FCCB28DDAFFC65D2761
  • 271AF4589D175F1725724D948A63E840
  • BA02A7463A0C5BF6954DE860C53A9339
  • 95.211.209.223
  • 212.7.208.88

主題の専門家

  • パヴァンクマール・チャウダリ、アニルッダ・ドラス |クイックヒールセキュリティラボ

パヴァンクマール・チャウダリ

パヴァンクマール・チャウダリについて

Pavankumar は、Quick Heal Technologies に技術リーダー (研究開発) として所属しており、脆弱性調査分析チームにも所属しています。

パヴァンクマール・チャウダリの記事 »

関連記事