セキュリティ企業FireEyeは本日、新たなハッキングキャンペーン「Felixroot」がMicrosoft Officeの古い脆弱性を悪用してバックドアをインストールし、被害者のマシンからファイルを盗み出すと発表しました。Felixrootは以前、2017年9月にウクライナのコンピュータを標的とした別のキャンペーンと関連付けられていました。
フェリックスルート
2017年9月、FireEyeは初めてFelixrootキャンペーンを観測しました。このキャンペーンは、ウクライナのユーザーに悪意のあるOfficeの銀行文書を送信していました。この文書には、後に被害者のPCにFelixrootマルウェアをダウンロードするマクロスクリプトが含まれていました。
Fireeyeは最近、このキャンペーンの新たなバージョンを確認しました。今回のキャンペーンは環境保護関連の文書を利用しています。これらの文書に含まれていたマルウェアは、昨年Microsoft Officeで発見された未修正のセキュリティ脆弱性CVE-2017-0199およびCVE-2017-11882を悪用していました。最初の脆弱性はバックドアのダウンロードに、2つ目の脆弱性はバックドアを兵器化するために利用されます。
技術的な詳細
ダウンロードされたSeminar.rtf ファイルには、Windowsの%temp%ディレクトリにダウンロードされる別の埋め込みファイルが付属しており、ダウンロードされたバックドアはそこから実行されます。バックドアの実行ファイルは、カスタム暗号化によって暗号化された状態で届きます。
この実行ファイルは復号され、ディスクに保存されることなくメモリ内で直接実行されます。バックドアは10分間スリープ状態になった後、Windowsコンポーネントのrundll32.exeによって実行されます。その後、コマンドアンドコントロール(C2)サーバーに接続し、攻撃者はそこから被害者のPCにリモートコマンドを送信したり、ファイルを盗んだりすることができます。
ネットワーク経由でC2サーバーに送信されるすべてのデータは、まずAES暗号化され、その後Base64エンコードに変換されます。これにより、送信中にデータが失われることはありません。その後、マルウェアは次のタスクを実行するまでスリープ状態になります。
FireEyeは、CVE-2017-0199およびCVE-2017-11882のMicrosoft Officeのバグは、最近攻撃者が悪用するのに最も好む欠陥の1つであると述べ、ほとんどの組織がOfficeソフトウェアを最新の状態にするまで、悪意のある者はこれらの脆弱性を悪用し続けるだろうと警告した。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
