新しいサイバー諜報キャンペーンが、巧妙に作成されたフィッシングメール、および古いMicrosoft Office脆弱性を通じてXWorm遠隔アクセストロイの木馬(RAT)を配布しています。
セキュリティ研究者らは、この作戦が攻撃者がいかにして既存のソフトウェア欠陥を武器化して現代的なシステムを侵害できるかを実証していると警告しています。
2022年に最初に発見されたXWormは、地下市場とTelegramベースの市場で販売・宣伝されている強力なWindowsマルウェアです。
インストールされると、攻撃者に被害者のコンピュータの完全な遠隔制御を付与し、監視、ファイル盗難、さらにはランサムウェアや分散型サービス妨害(DDoS)攻撃を可能にします。
最近のキャンペーンは、複数の言語で送信されたビジネススタイルのフィッシングメールで始まります。メッセージは発注書、送付銀行文書、または支払い確認を装っています。
各メールは、詳細を確認するために添付されたExcelアドインファイルを開くように受信者に促しています。添付ファイルは悪意のあるものです。それを開くと、感染チェーンが無言で開始されます。
Excelドキュメントには、CVE-2018-0802であるMicrosoft Equation Editorの遠隔コード実行欠陥を悪用するために設計された隠れたオブジェクトリンク埋め込み(OLE)コンポーネントが含まれています。
ファイルが開かれると、脆弱なプログラムが形式が正しくないデータを処理し、埋め込まれたシェルコードを実行します。
シェルコードはHTMLアプリケーション(HTA)ファイルをシステムにダウンロードし、Windowsユーティリティを使用してそれを実行します。
HTA スクリプトはその後PowerShellを起動し、インターネットから偽装されたイメージファイルを取得します。画像内に隠されているのはBase64で符号化された.NETマルウェアモジュールです。
ディスクにファイルを書き込む代わりに、モジュールはメモリに直接読み込まれ、検出をより難しくします。その後、最終的なXWormペイロードをダウンロードし、プロセスホローイングを使用して新しく作成されたMsbuild.exeプロセスに注入します。
この技術は、合法的なプログラムのメモリを悪意のあるコードに置き換えながら、信頼されたプロセス名を保持します。
このキャンペーンで分析されたペイロードはXWormバージョン7.2に対応しています。
実行後、XWormはコマンド・アンド・コントロール(C2)サーバーに接続し、感染したデバイスを登録します。
マルウェアはAESを使用して通信を暗号化し、ユーザー名、オペレーティングシステム、ハードウェア情報、アンチウイルスソフトウェアを含むシステムの詳細を送信します。
攻撃者はその後、侵害されたマシンにコマンドを送信できます。機能には、プログラムの実行、ファイルのダウンロード、ウェブサイトの開設、キーストロークの記録、スクリーンショットの取得、カメラまたはマイクの制御が含まれます。
マルウェアはコンピュータの再起動またはシャットダウン、およびシステムコマンドのリモート実行も可能です。
XWormの主要な機能はそのプラグインアーキテクチャです。50以上のオプションモジュールをレジストリから読み込んで機能を拡張できます。
これらのプラグインは認証情報の盗難、ブラウザデータの収集、不正なリモートデスクトップアクセス、およびDDoS攻撃の開始を可能にします。場合によっては、攻撃者は同じ感染からランサムウェアをデプロイすることさえできます。
研究者らは、このキャンペーンが繰り返されるセキュリティ問題を浮き彫りにしていると述べています。組織はしばしば古いOfficeコンポーネントをパッチしないままにしています。数年前のものであるにもかかわらず、Equation Editor脆弱性は、多くのシステムが依然として古い実行可能ファイルを含んでいるために、積極的に悪用され続けています。
翻訳元: https://cyberpress.org/phishing-spreads-xworm-rat/