MSワードの基本機能までをサイバー攻撃へ利用するハッカー達

このキャンペーンを発見したセキュリティ専門家は、2番目の段階で配布される文書ファイルを独立させて分析することに成功しました。この文書ファイルの攻撃方法は、今までにない新しいもので、セキュリティ網を迂回するためにありとあらゆる方法を考えるハッカー達の間で、流行しつつある、と分析しました。

複数の段階を経て、最終ペイロードをダウンロードする攻撃方法は以前にもあったものです。しかし、セキュリティ専門家が分析したウィンドウシステムが、2番目のペイロードをダウンロードする時に奇妙な点がありました。一般的に悪性文書ファイルを利用しようとすれば、マクロがまず動作しますが、今回のキャンペーンに使われた文書ファイルにはマクロもなく、シェルコードもありませんでした。URLのみがあり、被害者が文書ファイルを開くと、このURLを通じて遠隔でホスティングされた要素を持ってきてロードさせるものでした。

まず最初は、よく見られるフィッシングメールの手法が活用されます。メールに悪性.docx文書ファイルが添付されていますが、これがマクロもなく、エクスプロイトもない文書ファイルです。URLだけがフレームにエンベッドされています。開いた瞬間、HTTPリクエストが該当URLに伝達され、リモートオブジェクトがダウンロードされます。また別のURLにもう一度接続する場合もあり、最終的に悪性RTFファイルへと誘導されます。

ハッカーが活用するのは、MSワードにある特定機能でもあります。セキュリティ専門家によると、一時期MSワードはHTMLエディタとして広く使われたことがある、と言います。もちろん、今現在はそうではありませんが、初期にはそういう状態でした。なのでMSがこのワードエディタへHTML編集の為の機能とAPT呼び出し機能を搭載し、それが今も残ったままの状態です。その上、マニュアルにも説明されている公開された機能でもあります。今回発見されたキャンペーンは、それを活用しています。

悪性RTFファイルには、スクリプトとエクスプロイト1つがエンベッドされています。RTF文書固有の特性と、CVE-2017-8570脆弱性をエクスプロイトする機能を生かします。この悪性文書ファイルが被害者のシステムで開かれると、ウィンドウズの%TEMP%ディレクトリにオブジェクトが自動でドロップされます。

機器への侵入を完全に完了するには、ドロップされたオブジェクトの実行が必要となります。ここで活用されるのがCVE-2017-8750脆弱性です。この過程が終了した後に、最終ペイロードであるフォームブックマルウェアがシステムに設置されます。フォームブックはスクリーンショットを残し、個人識別情報を盗み出したり、キーボードをロギングしC&Cサーバーから追加要素をダウンロードする機能を持っています。

またフォームブックはバンキング型トロイの木馬と類似した機能も発見されましたが、銀行と関連する被害を与える為に開発されたもの、というよりは、遠隔制御ツールに様々な機能を追加した様子だ、とセキュリティ専門家は言います。

ハッカー達による多段階式のシステム侵入手段の活用が増えてきているだけでなく、その方法の細かい部分が変化してきています。これは、セキュリティソリューションでの検知が非常に難しくなる方向への進化です。以前は、遠隔でオブジェクトを呼び出し、それをワード環境でエクスプロイトするゼロデイ脆弱性が多く発見されていました。しかし現在、ソフトウェア本来の機能までを利用して一緒にエクスプロイトしているため、セキュリティソリューションが異常を検知することが困難になってきています。

今回のキャンペーンにおいてハッカーにとって必要となる行動は、ユーザーが最初の添付ファイルを開く事です。その行動一つで、2段階目、3段階目の攻撃へと進んでいきます。その後、被害が拡大していきます。結局、この攻撃を防ぐためにはたった1回のミスさえも許されない、という事になります。

セキュリティ専門家の説明によると、最初の文書ファイルは外部URLのみ存在し、厳密に言えば悪性文書ファイルではない為、セキュリティソリューションが検知出来ない、と言います。サイバー攻撃がより”本物”のようになってきており、既存の正規ルートを通じてサイバー攻撃が行われている為、さらに進化したセキュリティソリューションが必要な時代になってきていえると言えるでしょう。