FinspyおよびLatenbotスパイウェアキャンペーンは、スパイ活動のためにWordの同じ0day脆弱性を使用し、ドキュメントの最終改訂日時は同じでした
数日前、パッチのリリース前でさえ、Wordの新しい0day脆弱性に関する情報が(サポートされているすべてのオペレーティングシステムのすべてのバージョンで)公開されていました 。 この脆弱性は、任意のコードが被害者のコンピュータで静かに実行され、RTFドキュメントを介して悪意のあるソフトウェアをインストールすることを可能にすることが報告されました。 マルウェアの動作のメカニズムについて簡単に説明しました。
攻撃の洗練された性質と一般的な製品での0dayの使用は、脆弱性が重要な標的に対して意図的に使用され、攻撃自体が特別なサービスや政府機関に近いハッカーによって実行されたことを示唆しました。 そしてそれが起こった。
今年の1月にこの0dayを使用した最初の攻撃を思い出してください。 Office Wordの保護されたビューが Microsoft Wordで無効になっている場合、ドキュメントを開くと、エクスプロイトが自動的に開始されます。 その後、winword.exeプロセスは、RTFドキュメントを装ったHTAファイル(HTMLアプリケーション)をダウンロードするリモートサーバーにHTTPリクエストを送信します。 HTAファイルが自動的に起動され、悪意のあるスクリプトが実行されます。
このスクリプトは、感染した元のWordファイルを閉じ、代わりに偽のテキストドキュメントをユーザーに表示します。 元のwinword.exeプロセスは、OLE2Linkを表示するウィンドウをユーザーから隠すために閉じられます。
同時に、スクリプトは、コンピューターにインストールするためにリモートサーバーから追加の悪意のあるコードをダウンロードします。 .htaの実行を使用して、このエクスプロイトの作成者は、Microsoftによって実装されたすべてのメモリ保護対策、およびウイルス対策保護や他のほとんどの保護方法を効果的にバイパスします。
主なことをすぐに言ってください。
まず、この脆弱性には既に分類番号CVE-2017-0199が割り当てられています。
第二に、MicrosoftはついにMS Office 2007、2010、2010、2013およびWindows Vista、7、Server 2008、Server 2012のパッチをリリースしました 。
現在、FireEyeの専門家は、2つのパート( 1、2 )でより詳細な技術分析を行っているため、一部の詳細が明らかになり始めています。
FireEyeは、攻撃者が攻撃に使用した2つのドキュメントに関する情報を公開しました。
FireEyeには、CVE-2017-0199が国家スパイに使用されたという情報があります。 この0日は、2017年1月と3月に古い既知のマルウェアFinspyとLatenbotが配信される攻撃で使用され、最後のDridex攻撃は4月7日に脆弱性に関する情報が開示された後に開始されました。 しかし、これら3つの攻撃の実装の類似点は、組織者が1つのソースからコードを受け取ったことを示しています、とFireEyeは書いています。
3つの攻撃の最初はFinspy配信攻撃で、2017年1月25日に最初に発見されました。 攻撃中、ロシア連邦国防省の作者であるとされるロシア語の文書が配布され、ドネツク人民共和国で公開されました。 このドキュメントは「スパイ衛星」と呼ばれます。
SECURITY SATELLITE.docドキュメント(MD5:c10dabb05a38edd8a9a0ddda1c9af10e)を開くと、Finspyトロイの木馬を含むIPアドレス95.141.38.110からペイロードを既にダウンロードしたエクスプロイトが開始されました。 ディスク上のドキュメントの検索、Skypeの会話の聞き取りなど、普遍的な機能を備えていました。トロイの木馬に加えて、オリジナルではなく偽のドキュメントもダウンロードされました。
FireEyeは攻撃の目的を特定できませんでしたが、同社はFinspyツールがGamma Groupによってさまざまな国の顧客に販売されたことを強調しています。 同時に、ほぼ同時に、0day脆弱性がLatentbotマルウェアの拡散に使用されました。 両方の攻撃の主催者は、両方のキャンペーンで使用された悪意のあるドキュメントの最新版の同じ日付と時刻で示されているように、おそらく1つのソースからコードを受信しました:2016-11-27 22:42:00(記事の冒頭のスクリーンショットを参照)。
0dayに関する情報がパブリックドメインに入った後、誰かがスパムキャンペーンを開始し、感染したドキュメントを大量に配布しました。 この場合、Dridexマルウェアは感染したコンピューターにインストールされます。 スパムキャンペーンは今日まで続いているため、RTF形式またはDOC形式の添付ファイルが付いたメールを受信しても驚かないでください(RTF文書は内部にあります)。