このキャンペーンはOfficeの脆弱性を悪用してモジュール式のXWorm RATを配信し、HTA、PowerShell、インメモリ.NET実行を連鎖させて検出を回避し、侵害後の制御を拡大します。
Fortinetの研究者は、商用で入手可能なXWormマルウェアを配信する新しいフィッシングキャンペーンを公開しました。このキャンペーンは、数年前のMicrosoft Officeの脆弱性とファイルレス実行を連鎖させて検出を逃れます。
複数のテーマのフィッシングメールと悪意のあるExcelアドインを使用するこのキャンペーンは、最終的に暗号化されたコマンド&コントロール(C2)とプラグインベースの拡張が可能なモジュール式リモートアクセス型トロイの木馬(RAT)を展開します。
「このキャンペーンは、その平凡さにおいて際立っています」と、Keeper SecurityのチーフインフォメーションセキュリティオフィサーであるShane Barneyは述べています。「ここには画期的な技術はありません。これは、私たちが以前から見てきたコンポーネントから構築されたクリーンな実行チェーンです。洗練されているのは新規性ではなく、組み立て方です。」
攻撃者は、2018年にパッチが適用されたOfficeのメモリ破損の欠陥であるCVE-2018-0802を悪用する悪意のあるExcelアドインを含むフィッシングメールを使用しました。攻撃はその後、HTAおよびPowerShellベースの実行に続き、攻撃の追加コンポーネントをロードします。
攻撃者は馴染みのあるエントリーポイントを使用
Fortinetのブログ投稿によると、このキャンペーンはビジネスをテーマにしたフィッシングの誘導と、防御者が何年も前から知っているMicrosoft Equation Editorのレガシーリモートコード実行脆弱性に依存しています。FortinetはCVE-2018-0802の継続的な成功が、パッチ適用のギャップが依然として実行可能な攻撃対象領域であることを示唆していると指摘しました。
SectigoのシニアフェローであるJason Sorokoは、日常的なフィッシングと最新のバックエンド技術の組み合わせが、このキャンペーンを注目に値するものにしていると述べています。
「ここで際立っているのは、フロントエンドがいかに『古く』『日常的』であり、バックエンドがいかに最新のままであるかということです」と彼は述べています。「誘導は馴染みのあるビジネスの口実と悪意のあるExcelアドインですが、本当のシグナルは、レガシーOfficeのエクスプロイトパスが依然として大規模に変換されるという攻撃者の自信です。添付ファイルはCVE-2018-0802を悪用し、その後すぐにHTAとPowerShellに移行して、重い処理をディスク外に保ちます。」
Fortinetの研究者は、CVE-2018-0802を通じて得られるリモートコード権限により、HTAおよびPowerShellコンポーネントの実行がさらに可能になり、活動の多くをディスク外に保つと付け加えました。「その組み合わせは、パッチの衛生管理とマクロまたはスクリプト実行ポリシーが、ほとんどの組織が認めたがる以上に実際の作業を行っているということを思い起こさせます」とSorokoは付け加えました。
ファイルレス.NETステージとモジュール式XWormコア
初期アクセスを超えて、Fortinetはメモリに直接ロードされるファイルレス.NETステージを観察し、その後、.NETコードを実行できる正規のMicrosoftビルドツールであるmsbuild.exeへのプロセスホローイングが続きました。msbuild.exeの選択は、マルウェアのランタイム要件に合致しながら、通常のシステム活動に溶け込むのを助けます。
「メモリにロードされるファイルレス.NETステージに続くmsbuild.exeへのプロセスホローイングは、正規の.NET対応バイナリを活用し、単純な検出のための帰属を複雑にするクリーンな『溶け込み』の動きです」とSorokoは述べています。「msbuild.exeに対するFortinetの根拠は、LOLBinの選択を単なる一般的な偽装ではなく、マルウェアの.NETランタイムのニーズに結び付けているため、防御者にとって特に有用です。」
アクティブになると、XWormはAES暗号化パケットを使用してC2と通信し、広範なプラグインエコシステムをサポートします。研究者は、このモジュール性により、その能力がリモートアクセスを超えて拡張され、オペレーターが望むものに応じて、認証情報の盗難、データの流出、破壊、および近代化の経路が可能になると指摘しました。
Fortinetは、XWormがシステム制御(CLOSE、アンインストール、更新)、ファイルのダウンロードと実行(DW、LN)、プラグインのロード、スクリーンショットのキャプチャ($Cap)、キーロガーの取得、DDoS制御、シャットダウンまたは再起動機能など、幅広いオペレーターコマンドをサポートしていると述べています。この公開には、フィッシングURLやHTAおよびローダーファイルをホストするために使用されたドメイン、C2サーバー、悪意のあるExcel添付ファイルのファイルハッシュ、最終的なXWormペイロードなど、キャンペーンに関連する侵害の指標もリストされています。
Barneyは、より広範なリスクは、マルウェアのラベルよりも侵害後の制御に依存していることを強調しました。「このようなキャンペーンは、単純な現実を露呈します。侵入ベクターは予測可能です。ツールは商品化されています。唯一の本当の変数は、環境が侵入者が次に何ができるかを制限するかどうかです」と彼は述べています。
