ウクライナ、7年前のOffice脆弱性でサイバー攻撃被害に

ウクライナ、7年前のOffice脆弱性でサイバー攻撃被害に - innovaTopia - (イノベトピア)

Last Updated on 2024-09-18 05:27 by admin

ウクライナが、Microsoft Officeの7年前の脆弱性を悪用したサイバー攻撃の標的になった。この攻撃は、2023年末に発生し、Cobalt Strikeをコンプロマイズされたシステムに配信するために、Microsoft Officeのほぼ7年前の欠陥を利用していることが発見された。攻撃チェーンは、PowerPointのスライドショー・ファイルを起点としており、このファイルはSignalインスタントメッセージングアプリ経由で共有された可能性が示唆されているが、その配布方法を示す実際の証拠はない。ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、過去にメッセージングアプリをマルウェア配信ベクトルとして使用した2つの異なるキャンペーンを発見している。

この攻撃はCVE-2017-8570(CVSSスコア:7.8)の脆弱性を悪用し、特別に作成されたファイルを開くようにユーザーを説得することで、攻撃者が任意のアクションを実行できるようにする。攻撃は、weavesilk[.]spaceにホストされたリモートスクリプトをロードする。その後、JavaScriptコードを含むHTMLファイルを起動し、Windowsレジストリを介してホスト上で永続性を確立し、Cisco AnyConnect VPNクライアントを偽装した次段階のペイロードをドロップする。このペイロードには、システムメモリに直接Cobalt Strike Beaconを注入し、コマンドアンドコントロールサーバー(”petapixel[.]fun”)からのさらなる指示を待つDLLが含まれている。DLLは、仮想マシンで実行されているかどうかをチェックし、セキュリティソフトウェアによる検出を回避する機能も備えている。

CERT-UAは、ロシアの国家支援グループであるUAC-0133によって、ウクライナの約20のエネルギー、水、暖房供給業者が標的にされたことを明らかにした。このグループはSandworm(別名APT44、FROZENBARENTS、Seashell Blizzard、UAC-0002、Voodoo Bear)のサブクラスターであり、ウクライナに対する破壊的な操作の大部分を担っている。攻撃は、Kapeka(別名ICYWELL、KnuckleTouch、QUEUESEED、wrongsens)とそのLinuxバリアントBIASBOAT、およびGOSSIPFLOWとLOADGRIPのマルウェアを使用して、重要なオペレーションを妨害することを目的としている。Sandwormは、少なくとも2009年から活動している高度に適応性のある脅威グループであり、ロシア連邦軍参謀本部主任部(GRU)内のUnit 74455にリンクしている。

【ニュース解説】

ウクライナが、Microsoft Officeの約7年前の脆弱性を悪用したサイバー攻撃の標的になった事件が発生しました。この攻撃は2023年末に行われ、攻撃者はMicrosoft Officeの古い脆弱性を利用して、Cobalt Strikeというツールをシステムに侵入させました。攻撃の手口としては、PowerPointのスライドショー・ファイルを使用し、このファイルがSignalインスタントメッセージングアプリを通じて共有された可能性が示唆されていますが、その配布方法については明確な証拠はありません。

この攻撃で悪用された脆弱性はCVE-2017-8570と呼ばれ、CVSSスコアは7.8とされています。攻撃者はこの脆弱性を利用して、特別に作成されたファイルを開かせることで、リモートから任意のコードを実行できるようにしました。攻撃は、外部のスクリプトをロードし、その後JavaScriptコードを含むHTMLファイルを実行して、Windowsレジストリを介してホスト上で永続性を確立し、最終的にはCisco AnyConnect VPNクライアントに偽装したペイロードをドロップします。このペイロードには、システムメモリに直接Cobalt Strike Beaconを注入し、コマンドアンドコントロールサーバーからの指示を待つDLLが含まれています。

この攻撃の背後にいる具体的な脅威アクターやグループは特定されていませんが、この手法は軍事関連の内容を餌にしており、特に軍事関係者をターゲットにしていることが示唆されています。また、この攻撃は、ウクライナのエネルギー、水、暖房供給業者を標的にしたロシアの国家支援グループUAC-0133による攻撃と同時期に発生しており、ウクライナに対するサイバー攻撃の一環と見られています。

このような攻撃は、既存の脆弱性を悪用することで、高度な持続性を確立し、重要な情報を盗み出すことが可能になります。また、攻撃者が合法的なツールを悪用することで、検出を回避しやすくなるという特徴があります。この事件は、ソフトウェアの更新とパッチ適用の重要性を改めて浮き彫りにし、国家レベルでのサイバー攻撃の脅威が増大している現状を示しています。長期的な視点では、このような攻撃への対策として、セキュリティ対策の強化、脆弱性の迅速な修正、そして国際的な協力による情報共有がより一層重要になってくるでしょう。

from Ukraine Targeted in Cyberattack Exploiting 7-Year-Old Microsoft Office Flaw.

SNSに投稿する

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ウクライナ、7年前のOffice脆弱性でサイバー攻撃被害に