Microsoftが顧客を狙ったACR Stealer攻撃の急増を警告

Microsoftは、ブラウザに保存されたパスワードや認証トークン、機密文書を窃取するACR Stealerマルウェアを使った攻撃が、同社の企業顧客に対して急増していると報告しました。

4月下旬から6月中旬にかけて、脅威アクターはClickFixというソーシャルエンジニアリング手法、WebDAVサーバー、そしてMSHTA(Microsoft HTML Application Host)ユーティリティを組み合わせて情報窃取ペイロードを配信していました。

ACR Stealerはマルウェア・アズ・ア・サービス(MaaS)の一種で、Amatera Stealerマルウェアが名称変更したものとみられています。

ACR Stealerによる攻撃の手口

このマルウェアには複数の配布方法がありますが、Microsoftは中でも特に多く見られる2つの侵入経路を挙げています。

1つ目のキャンペーンは、ClickFixの誘導によって始まり、rundll32.exeを使ってリモートのWebDAV共有から悪意あるDLLを実行するコマンドが実行される、というものです。

脅威アクターがWebDAVを悪用する手口はよく見られるもので、過去にはBumblebeeVoldemortといったマルウェアの配布でも確認されています。

今週公開されたレポートでMicrosoftが述べているところによると、脅威アクターは通常、WebDAVのパス内でGUIDベースのディレクトリ構造とファイル名を使用し、正規のリソース(例えばgoogle.ctなど)に見せかけることで、想定されるネットワークトラフィックに紛れ込ませているといいます。

コマンド&コントロール(C2)インフラとの通信が確立されると、「大幅に難読化されたPowerShellスクリプト」が実行され、マルウェアのインストーラーが起動し永続化が確立されます。

この一連の処理では、同梱されたPythonローダーがインストールされ、ソフトウェアアップデートに偽装したスケジュールタスクが作成されるほか、タイムスタンプの改ざん、PowerShell履歴の消去が行われ、最終的なペイロードがシステムプロセスに注入されてメモリ上で実行されます。

一部の亜種では、公開ブロックチェーンサービスをデッドドロップ・リゾルバーとして利用し、更新されたペイロードの保存場所やC2アドレスを取得しています。これはよく知られた手法で、「EtherHiding」とも呼ばれています。

2つ目の配布経路では、脅威アクターはClickFixを使ってMSHTAを起動させます。MSHTAは攻撃者のサーバーから悪意あるコンテンツを取得し、難読化されたPowerShellダウンローダーを実行します。

その後、マルウェアは一般公開されているステガノグラフィ手法を使ったJPEG画像に隠された暗号化ペイロードを抽出し、メモリ上で直接実行します。

手口は異なるものの、狙いは機密データの窃取という点で共通しています。

  • Webブラウザに保存されたパスワード、Cookie、セッションデータ、認証トークンの窃取
  • Windows Data Protection API(DPAPI)によるブラウザデータの復号
  • ChromeやEdgeのChromiumブラウザデータベースへのアクセス
  • PDFやMicrosoft 365文書の検索
  • デスクトップやダウンロードフォルダからのファイル収集
  • 企業で同期されたOneDriveおよびSharePointディレクトリの標的化

収集されたすべてのデータはアーカイブ化され、攻撃者への外部送信に備えて準備されます。

Image

Microsoftは「この2つのキャンペーンは、Defender Expertsが観測したACR Stealerの配布キャンペーンの中でも特に多く見られるものですが、このマルウェアファミリーが使用する配布方法の全体像を表すものではありません」と警告しており、他にも実行経路が存在する可能性が非常に高いとしています。

ClickFix攻撃に対する一般的な防御策として、ユーザーは、エラーの修正や自分が人間であることの確認をうたう指示であっても、コマンドインタープリタへの指示のコピー&実行を避けるべきです。

Microsoftは、フィルタの適用、評判の低いドメインや新規ドメインのブロック、業務上必要のないオンラインリソースへのアクセス制限を通じて、組織がWebベースの配布経路への露出を減らすことを推奨しています。

アプリケーション制御ルールを使えば、特にユーザーが書き込み可能なパスにおいて、PowerShellやPython、mshta.exe、rundll32.exeといったツールを使ってリモートリソースからコンテンツを起動する動作を制限できます。

Microsoftのレポートには、推奨される緩和策のより詳細な一覧に加え、今回観測されたACR Stealerの活動に特化した侵害指標(IOC)も掲載されています。

攻撃者より先にすべてのレイヤーをテストする

セキュリティチームが記録できている攻撃成功事例はわずか54%、アラートが上がるのはたった14%に過ぎません。残りは環境内を検知されないまま通り抜けています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/microsoft-warns-of-surge-in-acr-stealer-attacks-on-customers/

ソース: bleepingcomputer.com