Known Cybergang Exploits Old WinRAR Flaw to Attack Windows Enterprise Customers
14か月前、CheckPointの研究者は、人気のあるWinRar圧縮ツールによって利用される脆弱なダイナミックリンクライブラリ(DLL)に出会いました。 dllは、WinRARの抽出時に悪意のあるファイルを '.ace'圧縮形式を使用してアーカイブし、標的のマシンに侵入させます。すぐに5億人のWinRARユーザーに潜在的な攻撃を仕掛けたこの欠陥は非常に深刻で、プログラムの製造元は '.ace'ファイルの抽出をサポートしていないソフトウェアの更新バージョンをリリースしました。しかし、当時の最新の5.61バージョン(およびそれ以前のバージョン)用のパッチは公開されていません。そのため、多くのWinRARユーザーが今日まで危険にさらされています。
サイバーギャングの短所は、次のとおりです。
- MuddyWaterとして知られているサイバー犯罪集団がこの攻撃を開発しました。
- 最新の被害者は、衛星および通信サービスを提供しているエンタープライズマイクロソフトのお客様です。
- この脅威は、WinRarの抽出後に、マルウェアをPCに植え込むことが可能な、危殆化した「.ace」アーカイブファイルの集合として届きました。
目次
WinRARの欠陥に対する最新の被害者
衛星および通信サービスを提供している企業のMicrosoft Windowsの顧客に対する最近の攻撃から判断すると、この攻撃は依然として非常に活発です。 2019年3月、MicrosoftのOffice 365 Advanced Threat Protection(ATP)部門は、企業クライアントに属する多くのWindows 10 Enterpriseベースのマシンで悪意のある.aceファイルのコレクションを検出しました。問題のデータはCVE-2018-20250の脆弱性、すなわちすべてのWinRARバージョン5.70(現在のもの)から.aceアーカイブを抽出することに関与している危険にさらされた.dllファイルに関連する欠陥を悪用したことが判明しました。 WinRARは1年以上前にv5.70をリリースしましたが、多くのユーザーはまだ新しい.aceフリーバージョンにアップデートする必要があります。
首相容疑者 - 有名なAPTグループ
Microsoftによると、2019年3月の攻撃を開始したのはAPT(Advanced Persistent Threat)チームであるMuddyWaterでした。 MuddyWaterのハッカーは、アメリカ合衆国、ヨーロッパ、および中東の公共団体や企業を対象としたスピアフィッシングEメールを送信することで有名です。これまでのところ、MuddyWaterギャングは、ほんの数例を挙げると、ヨルダン、トルコ、サウジアラビア、アゼルバイジャン、イラク、パキスタン、アフガニスタンで攻撃を行っています。すべての介入は、スパムメールの文書添付ファイルに埋め込まれたマクロマルウェアを特徴としています。添付ファイルを開くと、 マクロを有効にする要求が出され、マクロはリモートでコードを実行できるようになりました 。
今回はちょっと違います
新しいキャンペーンは少し修正されたアプローチを特徴としているようです。マルウェアを多く含むWordファイルを植える代わりに、詐欺師は代わりにマクロのない文書を添付します。後者にはOneDrive URLが含まれており、開くと別のWordファイルを含むaceアーカイブがドロップされます。元の添付ファイルとは異なり、新しい文書には悪意のあるマクロが多数あります。疑いを持たない受信者が次の場合に感染は成功です。
- 要求されたときにマクロを有効にします。
- 「見つからない.dllファイル」を修正するためにPCを再起動することを受け入れます。
前者を実行すると、マルウェアのペイロード(dropbox.exeというファイル)がWindowsのStartupフォルダに入ります。. 後者を実行すると、システムの起動時にマルウェアが読み込まれ、C&Cサーバーの攻撃者は対応するコンピューターにリモートアクセスできるようになります。
世界中の膨大な数のWinRARユーザーは、現在のバージョン5.70への素早い移行に課題を投げかけています。残念ながら、これは依然としてCVE-2018-20250の脆弱性の影響を受けない唯一のWinRARバージョンです。