攻撃者がパッチ未適用のWindowsゼロデイ脆弱性を悪用
CVE-2023-36884のエクスプロイトは、ヨーロッパおよび北米の組織に対する標的型攻撃で使用されました。
MicrosoftのWindowsおよびOffice製品に影響するゼロデイ脆弱性(CVE-2023-36884)が攻撃者に悪用されています。現在までに、このエクスプロイトは、ヨーロッパおよび北米の政府および防衛関連の組織を狙った高度な標的型攻撃で使用されています。
この脆弱性は7月11日にMicrosoftによって公表されました。Microsoftによると、攻撃者は特別に細工されたMicrosoft Office文書を作成し、標的のコンピュータ上でリモートでコードを実行できる可能性があるとのことです。このエクスプロイトが成功するためには、被害者がこの悪意のあるファイルを開く必要があります。この脆弱性に対するパッチはまだリリースされていません。しかし、Microsoftは現在もこの問題を調査中であり、月次リリースまたは臨時のセキュリティアップデートでパッチが提供される可能性があると述べています。同社は、その報告の中でいくつかの緩和策を提供しています。
この脆弱性の悪用手口
Microsoftが公開した別のブログ記事によると、この脆弱性は、Storm-0978(別名RomCom)と呼ばれる攻撃者がヨーロッパおよび北米の防衛関連および政府の組織に対して仕掛けた標的型攻撃で悪用されていました。このエクスプロイトは、世界ウクライナ人会議に関する情報を装ったMicrosoft Word文書に含まれていました。
この攻撃については、すでにBlackBerryが7月8日に報告しており、標的はもうすぐ開催されるNATOサミットの参加者であると指摘しています。この時点では、攻撃でゼロデイが使用されたことは知られていませんでした。
Storm-0978/RomComについて
Storm-0978/RomComはロシアに関連する脅威グループであり、スパイ活動とサイバー犯罪の両方に関わっています。このグループは、RomComというリモートアクセス型トロイの木馬(RAT)を使用することでその名を知られるようになりました。
このグループと、シマンテックがHawkerと呼んでいる、Cubaランサムウェアファミリーを開発したグループとの間には、強い結び付きがあります。米国のCISA(サイバーセキュリティインフラストラクチャセキュリティ庁)は、Hawker、RomCom、そしてIndustrial Spyランサムウェアグループの間につながりがある可能性があると述べています。また、Palo Altoが昨年発表したレポートでは、RomCom(Palo AltoではTropical Scorpiusと呼んでいます)がRomCom RATを使用してCubaランサムウェアのペイロードを被害者に配信した方法について詳しく解説しています。
Storm-0978/RomComとHawkerの間に強い結び付きがあることは明らかですが、この2つのグループが1つの同じグループなのかどうかは不明です。
この脆弱性の深刻度
パッチがリリースされるまでは、組織は可能な限りの緩和策を適用すべきです。現在までのところ、この脆弱性は標的型攻撃で悪用されていますが、この脆弱性が存在するというニュースは、間違いなく他の攻撃者がこのエクスプロイトを使用しようとするきっかけとなるでしょう。
保護/緩和策
メールベース
- シマンテックのメールセキュリティ製品が対象
ファイルベース
- Trojan.Mdropper
- WS.Malware.1
ネットワークベース
- Web Attack: WebPulse Bad Reputation Domain Request
Webベース
- すべてのWebPulse対応製品のセキュリティカテゴリに含まれる観測ドメイン/IPが対象
シマンテックでは、入手可能な情報に基づき、さらに可能性のある保護について調査を続けており、分析の進捗に応じて追加のシグネチャが導入される可能性があります。
Symantec Protection Bulletinで保護に関する最新情報をご確認ください。
侵害の痕跡
IOCが悪意のあるもので、シマンテックが入手できるファイルであれば、Symantec Endpoint製品はそのファイルを検知し、ブロックします。
a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f
e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539
d3263cc3eff826431c2016aee674c7e3e5329bebfb7a145907de39a279859f4a
3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97
We encourage you to share your thoughts on your favorite social platform.