• April 27, 2024
• Written by: 管理者
• No Comments

イバーセキュリティ研究者たちは、ウクライナを標的とした操作が、Microsoft Officeのほぼ7年前の欠陥を利用して、コンプロマイズされたシステムにコバルトストライクを配信していることを発見しました。

Deep Instinctによると、この攻撃チェーンは2023年末に発生し、「signal-2023-12-20-160512.ppsx」というPowerPointスライドショーファイルを起点としています。このファイル名から、Signalインスタントメッセージングアプリを通じて共有された可能性が示唆されますが、PPSXファイルがこの方法で配布された実際の証拠はありません。しかし、ウクライナのコンピュータ緊急対応チーム（CERT-UA）は、過去にメッセージングアプリをマルウェア配信ベクトルとして使用していた2つの異なるキャンペーンを発見しました。

先週、同機関は、ウクライナ軍がメッセージングおよびデートプラットフォームを通じてUAC-0184グループによってますます標的にされていることを公表しました。これはHijackLoader（別名GHOSTPULSEおよびSHADOWLADDER）、XWorm、Remcos RATなどのマルウェアや、sigtopおよびtuscのようなオープンソースプログラムを使用してコンピュータからデータを抜き取ります。

「PPSX（PowerPointスライドショー）ファイルは、戦車用の地雷除去ブレード（MCB）に関する古い米軍の取扱説明書のように見える」とセキュリティ研究者のイワン・コサレフ氏は言います。「PPSXファイルには、外部OLEオブジェクトへのリモートリレーションが含まれています。」

これにはCVE-2017-8570（CVSSスコア：7.8）の悪用が関与しており、これはOfficeのリモートコード実行のバグで、特別に作成されたファイルを開くように被害者を説得した場合、攻撃者が任意の行動を実行できるようにします。この攻撃は、weavesilk[.]spaceにホストされたリモートスクリプトをロードします。

その後、非常に難解なスクリプトは、JavaScriptコードを含むHTMLファイルを起動し、これによりホスト上で持続性を確立し、Cisco AnyConnect VPNクライアントを装った次段階のペイロードをドロップします。

ペイロードには、最終的にはクラックされたコバルトストライクビーコンをシステムメモリに直接注入し、コマンド＆コントロール（C2）サーバー（「petapixel[.]fun」）からのさらなる指示を待つダイナミックリンクライブラリ（DLL）が含まれています。

また、このDLLは、仮想マシンで実行されているかどうかを確認し、セキュリティソフトウェアによる検出を回避する機能も備えています。

Deep Instinctは、攻撃を特定の脅威アクターやグループにリンクすることもできませんでしたし、レッドチーミング演習の可能性を排除することもできませんでした。侵入の正確な最終目的も不明です。

「誘引には軍事関連のコンテンツが含まれており、軍事関係者をターゲットにしていることが示唆されている」とコサレフ氏は言います。

「しかし、ドメイン名weavesilk[.]spaceとpetapixel[.]funは、それぞれ一般的なアートサイト（weavesilk[.]com）と人気の写真サイト（petapixel[.]com）に偽装されています。これらは無関係であり、攻撃者がなぜこれらを具体적に軍事関係者を欺くために使用するのかは少し不思議です。」

この開示は、CERT-UAがウクライナの約20のエネルギー、水道、暖房供給業者がロシア国家後援のグループUAC-0133によって標的にされていることを明らかにした時と同時です。UAC-0133はSandworm（別名APT44、FROZENBARENTS、Seashell Blizzard、UAC-0002、Voodoo Bear）内のサブクラスタであり、この国に対するすべての破壊的な作戦の大部分を担当しています。