LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

ラックピープル | 

CVE-2017-0199の脆弱性を悪用したマルウェア「DreamBot」の拡散

2017年4月11日、Microsoft Officeおよびワードパッドにリモートでコード実行が可能な脆弱性 (CVE-2017-0199) に対応する 修正プログラムがMicrosoftより公開されました。

翌日、この脆弱性は、ゼロデイ攻撃として悪用されていたことが、 FireEyeTrend Micro から報告され、「FinFisher/FinSpy」、「LATENTBOT」、「DRIDEX」といったマルウェアを拡散するために利用されていました。
その後、4月下旬には、脆弱性を悪用可能な攻撃コードが公開されたことにより、日本国内で悪用されることが危惧されていました。
6月7日、弊社、サイバー救急センターの脅威分析チームは、日本国内で今までのマルウェア「DreamBot(ドリームボット)」の拡散とは異なり、脆弱性を悪用して、DreamBotを拡散させる、ばらまき型メール攻撃を確認しました。

図1は、6月7日に届いたCVE-2017-0199の脆弱性を悪用する日本語のばらまき型メールの一例です。添付ファイルは、zip形式で圧縮されており、zipファイルの中身は、拡張子が「.doc」であるが、リッチテキスト形式のファイル(pxsvj.doc)です。

図1脆弱性を悪用する日本語メール例
図1 CVE-2017-0199の脆弱性を悪用する日本語メール例

図2は、pxsvj.docをエディタで開いた際のコードを抜粋したものです。ファイルはリッチテキスト形式であり、赤線枠のようにOLEオブジェクトが埋め込まれていることが確認できます。また、図3は、このOLEオブジェクトを取り出し、コードを確認したものです。コードの中に不審なURLが埋め込まれていることが確認できます。

図2 pxsvj.docに含まれるOLEオブジェクト(一部抜粋)
図2 pxsvj.docに含まれるOLEオブジェクト(一部抜粋)
図3 OLEオブジェクト内の不審なURL(一部抜粋)
図3 OLEオブジェクト内の不審なURL(一部抜粋)

ユーザがこの脆弱性の影響を受けるMicrosoft Wordでpxsvj.docを閲覧した場合、不審なURLより、3.xlsをダウンロードされ、Microsoft OLEにおけるURL Monikerでの処理に起因する脆弱性によって実行されます。3.xlsは、Excelファイルではなく、図4に示す通り、Word文章ファイル形式を偽装したファイルであり、赤線枠のようにVBScriptがファイル途中に含まれていることが確認できます。

図4 ファイルに含まれるVBScript (一部抜粋)
図4 ファイルに含まれるVBScript (一部抜粋)

結果として、このスクリプトが実行されることにより、図5のようなPowerShellが呼び出され、不正サイトからDreamBotがダウンロードされます。(図6)ダウンロードされるDreamBotは、Serpentキー「s4Sc9mDb35Ayj8oO」を利用する攻撃者グループのものであり、Group IDは、「108444」、バージョンは、「216943」と先日LAC WATCHで公開した 「日本を狙うインターネットバンキングマルウェア「DreamBot」を利用する攻撃者」で紹介したものと変わりありませんでした。

図5 PowerShellの実行
図5 PowerShellの実行
図6 DreamBotのダウンロード(3000.bin)
図6 DreamBotのダウンロード(3000.bin)

攻撃者が日本国内において、DreamBotを拡散させる手法は、添付するファイルの種類に違いがあるものの、メールの添付ファイルを悪用するケースがほとんどであると考えます。今回は、脆弱性悪用に起因して、DreamBotに感染してしまうケースを紹介しましたが、本ケースもユーザが添付ファイルを閲覧することによって被害を受けてしまうものです。繰り返しになるかもしれませんが、「不用意に添付ファイルを開かない」ということを今一度ご確認いただくことを推奨します。また、今後も、脆弱性を悪用するケースも増えてくることが考えられます。「Windows OS やOffice 製品、Webブラウザなどの各ソフトウェアを常に最新の状態にする」ことも心掛けていただければ幸いです。

IOC(Indicator Of Compromised)

ハッシュ値

1f55f0420f11c2488e1ecfa44aee7280
027b66c7c5336f78105871decf6bd88e
40e2835686c118fdfd205208789f1c41
c880703de2833002d8094bbe32138839
e6bdcc6eb34d1f1a84148fcdeb9c1785
9afb4495a3b69cbf7dd4a2aa4f84a302
0acd3b7a5ff9da068a3bc2bda65fe1ba
6bc8bd7ac112ffebdf82565f060b1577
9cf096a2033c000ccee5475ac2fc493b
67e72ead32726998a23cee39968a348c
103565f301c35d9d09c9415bb401216d
59314158c182a2145a19a843f48fdbe3
a66e41cbd32ec4556ca9f2bd80ed691b
a6134b17b42868f505394a6fda95cfda
d35dc06149c43a5647491a3d2cf5233f
1d13be1b13431dc43628df932ecb7798
7d37705ae8b15cb57d6bb873adfe8758
8a6752f39cec5e21e9f408de03175478
8506ff8a578bab47869c3bc05fc72baa
26c8aed910384e607cddcde72d396f1e

通信先

ch[.]novamedicalgroups[.]ca
de[.]novamedicalgroups[.]ca
en[.]novamedicalgroups[.]ca
nl[.]claropointgroup[.]com
da[.]claropointgroup[.]com
cloud[.]pathwaystopromise[.]info
en[.]voltster12v[.]com
iod5tem372udbzu2[.]onion

この記事は役に立ちましたか?

はい いいえ