Last Updated on 2024-07-03 21:33 by admin
未知の脅威アクターが、カナダ、インド、ポーランド、および米国のユーザーを主な対象とするキャンペーンの一環として、監視ツール「MerkSpy」を配布するために、Microsoft MSHTMLの修正済みのセキュリティ欠陥を悪用していることが観察された。MerkSpyは、ユーザーの活動を密かに監視し、機密情報をキャプチャし、侵害されたシステム上での永続性を確立するように設計されている。攻撃チェーンの開始点は、ソフトウェアエンジニアの役割に関する仕事の説明を含むとされるMicrosoft Word文書である。このファイルを開くと、CVE-2021-40444という高重大度のMSHTMLの欠陥が悪用され、ユーザーの操作なしにリモートコード実行が可能になる。この欠陥は、2021年9月にリリースされたPatch Tuesdayアップデートの一部としてMicrosoftによって対処された。このケースでは、リモートサーバーからHTMLファイル(”olerender.html”)をダウンロードすることで、組み込まれたシェルコードの実行を開始し、その後、攻撃者のサーバーから次のペイロードをダウンロードして実行する段階を設定する。シェルコードは、「GoogleUpdate」と偽装されたファイルのダウンローダーとして機能し、実際にはセキュリティソフトウェアによる検出を回避し、MerkSpyをメモリにロードするインジェクターペイロードを含んでいる。このスパイウェアは、Windowsレジストリの変更を通じてホスト上で永続性を確立し、システム起動時に自動的に起動されるようになる。また、機密情報を密かにキャプチャし、ユーザーの活動を監視し、脅威アクターの制御下にある外部サーバーにデータを送信する機能を備えている。これには、スクリーンショット、キーストローク、Google Chromeに保存されたログイン資格情報、およびMetaMaskブラウザ拡張機能からのデータが含まれる。すべての情報はURL “45.89.53[.]46/google/update[.]php”に送信される。
【ニュース解説】
最近、カナダ、インド、ポーランド、およびアメリカ合衆国のユーザーをターゲットにしたキャンペーンで、未知の脅威アクターがMicrosoft MSHTMLの修正済みセキュリティ欠陥を悪用し、監視ツール「MerkSpy」を配布していることが報告されました。この攻撃は、ソフトウェアエンジニアの職務説明を含むとされるMicrosoft Word文書を介して開始され、この文書を開くことでCVE-2021-40444という高重大度の欠陥が悪用され、リモートコード実行が可能になります。この欠陥は2021年9月にMicrosoftによって修正されていますが、攻撃者は依然としてこの脆弱性を利用しています。
この攻撃では、リモートサーバーからダウンロードされたHTMLファイルを通じてシェルコードが実行され、その後、攻撃者のサーバーからさらなるペイロードがダウンロードされます。このシェルコードは、「GoogleUpdate」という名前で偽装されたファイルをダウンロードし、このファイルはセキュリティソフトウェアの検出を回避しながらMerkSpyスパイウェアをメモリにロードする役割を果たします。MerkSpyは、Windowsレジストリの変更を通じてシステム上で永続性を確立し、システム起動時に自動的に実行されるようになります。さらに、このスパイウェアはユーザーの活動を密かに監視し、機密情報をキャプチャして外部サーバーに送信する能力を持っています。
この攻撃の影響は、個人のプライバシー侵害や機密情報の漏洩にとどまりません。企業や組織にとっても、内部情報が外部に漏れるリスクが高まり、ビジネスや信頼性に重大な損害を与える可能性があります。また、このような攻撃は、セキュリティソフトウェアの検出を回避する高度な手法を使用しているため、既存のセキュリティ対策を見直し、強化する必要性を示しています。
長期的な視点で見ると、この攻撃はサイバーセキュリティの分野における継続的な脅威の進化を示しています。攻撃者は常に新しい手法を開発し、既存のセキュリティ対策を回避する方法を見つけ出しています。これに対抗するためには、セキュリティの専門家や研究者が最新の脅威を追跡し、対策を更新し続けることが不可欠です。また、ユーザー自身もセキュリティ意識を高め、不審なメールや文書の開封を避けるなど、基本的なセキュリティ対策を徹底することが重要です。
from Microsoft MSHTML Flaw Exploited to Deliver MerkSpy Spyware Tool.
