進行中のソーシャルエンジニアリングキャンペーンに新戦術:CVE-2022-26923の悪用試みるペイロードが使われるように
(情報源:Securityonline[.]info、Rapid7、Rapid7)
今年4月から続いている進行中のソーシャルエンジニアリングキャンペーンに、ツール面やテクニック面での変化がみられたことをRapid7が報告。このキャンペーンは、大まかにメールボム攻撃からのMicrosoft Teamsを利用したサポート詐欺、そしてソーシャルエンジニアリングによるリモートアクセスツールのインストール誘導、という流れで実施される。このコアな戦術は変わっていないものの、新たにみられた手法としては、標的にインストールさせるリモートアクセスツールにマイクロソフトのクイックアシストが使われなくなってほぼ毎回AnyDeskが使用されるようになったことや、クレデンシャルハーベスティング用のスクリプトが新たな.NETの実行ファイルに置き換えられたこと、また既知の脆弱性CVE-2022-26923の悪用を試みるペイロードが展開されるようになったことなどが挙げられるという。
メールボム攻撃からのサポート詐欺
このソーシャルエンジニアリングキャンペーンにおける攻撃はまず、標的となる複数のユーザーに対して大量のスパムメールを送りつけるところから始まる。これらのメール自体は有害なものではなく、実在する企業や組織からのニュースレター登録関連のEメールで構成されているという。
受信メールの量にユーザーが対処しきれなくなると、攻撃者はMicrosoft Teams経由でユーザーへ電話をかけ、このメール問題の解決をサポートすると申し出る。そして通話内でソーシャルエンジニアリング戦術を用いてAnyDeskをダウンロード・インストールするようユーザーを説得。AnyDeskがインストールされると、これを利用してユーザーのPCを乗っ取る。その後はデータの抜き取りや各種ペイロードのアップロード・実行などが実施されるという。
AntiSpam.exe
ユーザーの認証情報を収集する手段として新たに使われるようになったのが、32ビットの.NET実行ファイルである「AntiSpam.exe」。このファイルはスパムメールフィルターを装っており、実行されるとユーザーにポップアップウインドウを提示し、Windowsの認証情報を入力するよう求める。入力された認証情報は、列挙コマンドにより得られたシステム情報とともにAntiSpam.exeによりディスク上にロギング・保存される。
各種ペイロードの実行とCVE-2022-26923悪用の試み
AntiSpam.exeの実行に続いて、標的PCにはC2サーバーとの接続を確立する目的で一連のバイナリやPowerShellスクリプトが展開される。Rapid7によれば、ユーザーに疑われるのを避けるため以下のようなファイル名が付けられたペイロードが使用されるという。
- update1.exe
- update4.exe
- update6.exe
- update7.exe
- update8.exe
- update2.dll
- update5.dll
- update7.ps1
これらのペイロードには、ドロッパーおよびSOCKSプロキシとして機能するマルウェア「SystemBC」、C2フレームワークの役割を果たすとみられるGo言語のHTTPビーコン、接続のルーティングを行うことが可能なSOCKSプロキシビーコン、Cobalt Strikeモジュールからスタンドアローンの実行ファイルへ変換されたBeacon Object File(BOF)が含まれるとされる。
CVE-2022-26923を利用するペイロード
上記ペイロードの中で特に注目されるのが、既知の脆弱性CVE-2022-26923の悪用を試みるupdate6.exe。CVE-2022-26923は、複数のMicrosoft Windows製品における特権昇格の脆弱性で、ドメイン内でのマシンアカウント作成を可能にするもの。悪用が成功した場合、ドメインコントローラーからサービスアカウントの認証情報を抜き出して特権昇格を行うKerberoasting攻撃と呼ばれる手法を実現できるようになる。ひいてはラテラルムーブメントやネットワーク深部へのアクセスが可能になり得ることから、組織にとっては大きな懸念材料となるという。
加えて、ラテラルムーブメントや永続アクセスの確立を助ける手段としてはさらにリバースSSHトンネルやRMMツール「Level」の使用が観測されている。
このキャンペーンのさらなる詳細やIoCなどについては、Rapid7のブログ記事で確認できる。