-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
2017年4月11日、Microsoft Officeおよびワードパッドにリモートでコード実行が可能な脆弱性 (CVE-2017-0199) に対応する 修正プログラムがMicrosoftより公開されました。
翌日、この脆弱性は、ゼロデイ攻撃として悪用されていたことが、
FireEyeや
Trend Micro
から報告され、「FinFisher/FinSpy」、「LATENTBOT」、「DRIDEX」といったマルウェアを拡散するために利用されていました。
その後、4月下旬には、脆弱性を悪用可能な攻撃コードが公開されたことにより、日本国内で悪用されることが危惧されていました。
6月7日、弊社、サイバー救急センターの脅威分析チームは、日本国内で今までのマルウェア「DreamBot(ドリームボット)」の拡散とは異なり、脆弱性を悪用して、DreamBotを拡散させる、ばらまき型メール攻撃を確認しました。
図1は、6月7日に届いたCVE-2017-0199の脆弱性を悪用する日本語のばらまき型メールの一例です。添付ファイルは、zip形式で圧縮されており、zipファイルの中身は、拡張子が「.doc」であるが、リッチテキスト形式のファイル(pxsvj.doc)です。
図2は、pxsvj.docをエディタで開いた際のコードを抜粋したものです。ファイルはリッチテキスト形式であり、赤線枠のようにOLEオブジェクトが埋め込まれていることが確認できます。また、図3は、このOLEオブジェクトを取り出し、コードを確認したものです。コードの中に不審なURLが埋め込まれていることが確認できます。
ユーザがこの脆弱性の影響を受けるMicrosoft Wordでpxsvj.docを閲覧した場合、不審なURLより、3.xlsをダウンロードされ、Microsoft OLEにおけるURL Monikerでの処理に起因する脆弱性によって実行されます。3.xlsは、Excelファイルではなく、図4に示す通り、Word文章ファイル形式を偽装したファイルであり、赤線枠のようにVBScriptがファイル途中に含まれていることが確認できます。
結果として、このスクリプトが実行されることにより、図5のようなPowerShellが呼び出され、不正サイトからDreamBotがダウンロードされます。(図6)ダウンロードされるDreamBotは、Serpentキー「s4Sc9mDb35Ayj8oO」を利用する攻撃者グループのものであり、Group IDは、「108444」、バージョンは、「216943」と先日LAC WATCHで公開した 「日本を狙うインターネットバンキングマルウェア「DreamBot」を利用する攻撃者」で紹介したものと変わりありませんでした。
攻撃者が日本国内において、DreamBotを拡散させる手法は、添付するファイルの種類に違いがあるものの、メールの添付ファイルを悪用するケースがほとんどであると考えます。今回は、脆弱性悪用に起因して、DreamBotに感染してしまうケースを紹介しましたが、本ケースもユーザが添付ファイルを閲覧することによって被害を受けてしまうものです。繰り返しになるかもしれませんが、「不用意に添付ファイルを開かない」ということを今一度ご確認いただくことを推奨します。また、今後も、脆弱性を悪用するケースも増えてくることが考えられます。「Windows OS やOffice 製品、Webブラウザなどの各ソフトウェアを常に最新の状態にする」ことも心掛けていただければ幸いです。
IOC(Indicator Of Compromised)
ハッシュ値
1f55f0420f11c2488e1ecfa44aee7280
027b66c7c5336f78105871decf6bd88e
40e2835686c118fdfd205208789f1c41
c880703de2833002d8094bbe32138839
e6bdcc6eb34d1f1a84148fcdeb9c1785
9afb4495a3b69cbf7dd4a2aa4f84a302
0acd3b7a5ff9da068a3bc2bda65fe1ba
6bc8bd7ac112ffebdf82565f060b1577
9cf096a2033c000ccee5475ac2fc493b
67e72ead32726998a23cee39968a348c
103565f301c35d9d09c9415bb401216d
59314158c182a2145a19a843f48fdbe3
a66e41cbd32ec4556ca9f2bd80ed691b
a6134b17b42868f505394a6fda95cfda
d35dc06149c43a5647491a3d2cf5233f
1d13be1b13431dc43628df932ecb7798
7d37705ae8b15cb57d6bb873adfe8758
8a6752f39cec5e21e9f408de03175478
8506ff8a578bab47869c3bc05fc72baa
26c8aed910384e607cddcde72d396f1e
通信先
ch[.]novamedicalgroups[.]ca
de[.]novamedicalgroups[.]ca
en[.]novamedicalgroups[.]ca
nl[.]claropointgroup[.]com
da[.]claropointgroup[.]com
cloud[.]pathwaystopromise[.]info
en[.]voltster12v[.]com
iod5tem372udbzu2[.]onion
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR