Last Updated on 2024-10-24 07:55 by admin
2023年末、未知の脅威アクターが2017年のMicrosoft Officeのリモートコード実行(RCE)の脆弱性(CVE-2017-8570)を初期ベクトルとして使用し、ウクライナの政府機関を標的としたサイバー攻撃が発生した。攻撃は、米軍の戦車用地雷除去ブレードの古い取扱説明書を装った悪意のあるPowerPointファイル(.PPSX)を、セキュアメッセージングプラットフォームSignalを通じて送信することで開始された。このファイルは、Cloudflareによって保護されたロシアの仮想プライベートサーバー(VPS)プロバイダーのドメインにホストされた外部スクリプトとリモートで関連しており、CVE-2017-8570の脆弱性を利用してRCEを実現し、情報を盗むことを目的としていた。
技術的な詳細において、この攻撃は、Cisco AnyConnect APN設定に偽装した難読化されたスクリプトを使用し、検出を回避しながら埋め込まれたペイロードをディスクにデコードして保存する複数の段階を経た。ペイロードには、”vpn.sessings”と名付けられたローダー/パッカーの動的リンクライブラリ(DLL)が含まれており、Cobalt Strike Beaconをメモリにロードし、攻撃者のコマンドアンドコントロール(C2)サーバーからの指示を待つ。
この攻撃キャンペーンは、攻撃者がファイルや活動を合法的なOSや一般的なアプリケーションの操作として偽装し、感染したマシンの制御を可能な限り長く隠し続けるための手法にも注目される。しかし、この努力を特定の脅威グループにリンクすることはできず、新しいグループの仕業であるか、既知の脅威アクターのツールセットが完全にアップグレードされたことを示している可能性がある。
セキュリティ専門家は、サイバー攻撃の多くがフィッシングやリンク誘導によって開始されるため、従業員のサイバー意識の向上が攻撃試みを軽減する上で重要な役割を果たすと指摘している。また、セキュリティチームに対しては、ネットワーク内で提供されたIoCをスキャンし、Officeが最新バージョンにパッチされていることを確認することを推奨している。
【ニュース解説】
2023年末、ウクライナの政府機関が未知の脅威アクターによるサイバー攻撃の標的となりました。この攻撃は、2017年に発見されたMicrosoft Officeのリモートコード実行(RCE)の脆弱性(CVE-2017-8570)を利用して実行されました。攻撃者は、米軍の戦車用地雷除去ブレードの古い取扱説明書を装った悪意のあるPowerPointファイルを、セキュアメッセージングプラットフォームSignalを通じて送信することで攻撃を開始しました。このファイルは、ロシアの仮想プライベートサーバー(VPS)プロバイダーのドメインにホストされた外部スクリプトとリモートで関連しており、CVE-2017-8570の脆弱性を利用してリモートコード実行を実現し、情報を盗むことを目的としていました。
技術的な側面から見ると、攻撃は複数の段階を経て検出を回避しながらペイロードをデコードしてディスクに保存するために、Cisco AnyConnect APN設定に偽装した難読化されたスクリプトを使用しました。ペイロードには、”vpn.sessings”と名付けられたローダー/パッカーの動的リンクライブラリ(DLL)が含まれており、Cobalt Strike Beaconをメモリにロードし、攻撃者のコマンドアンドコントロール(C2)サーバーからの指示を待ちます。この攻撃キャンペーンは、攻撃者がファイルや活動を合法的なOSや一般的なアプリケーションの操作として偽装し、感染したマシンの制御を可能な限り長く隠し続けるための手法にも注目されます。
この攻撃の特徴の一つは、特定の脅威グループにリンクできないことです。これは、新しいグループの仕業であるか、既知の脅威アクターのツールセットが完全にアップグレードされたことを示している可能性があります。セキュリティ専門家は、サイバー攻撃の多くがフィッシングやリンク誘導によって開始されるため、従業員のサイバー意識の向上が攻撃試みを軽減する上で重要な役割を果たすと指摘しています。また、セキュリティチームに対しては、ネットワーク内で提供されたIoCをスキャンし、Officeが最新バージョンにパッチされていることを確認することを推奨しています。
この攻撃は、サイバーセキュリティの脅威が常に進化していることを示しており、古い脆弱性が依然として有効な攻撃ベクトルとして利用され得ることを示しています。セキュリティ対策としては、従業員の教育、システムとソフトウェアの定期的な更新、そして進化する脅威に対応するための先進的な検出メカニズムの導入が不可欠です。このような攻撃から身を守るためには、組織全体でのセキュリティ意識の向上と、迅速な対応能力が求められます。
from Military Tank Manual, 2017 Zero-Day Anchor Latest Ukraine Cyberattack.