原文のブログはこちらからご覧いただけます。
RomCom RAT (リモートアクセス型トロイの木馬)の背後にいる脅威アクターが、 Microsoft の脆弱性を悪用し、ウクライナ支援に関与している西側の政府機関や個人を標的にする動きを強めています。
この一連の極悪非道な活動では、ロシアが支援する RomCom 脅威グループ(他のベンダーでは Storm-0978 とも呼ばれる)によって、Microsoft® Office および Windows® の既知の HTML リモートコード実行(RCE)の脆弱性(CVE-2023-36884)が悪用されていました。BlackBerry の Threat Research & Intelligence チームが発見したこのキャンペーンについて、 Microsoft が詳しい調査を行ったところ、ヴィリニュスで開催された NATO サミットへの出席を予定していた国防関係者および政府関係者がスピアフィッシングの標的にされていたことが確認されました。
この攻撃の発生を受け、CISA (アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁)は BOD (拘束力のある運用指令) 22-01 を発行しました。この指令は、米国の FCEB (連邦文民行政機関)に対して、2023 年 8 月 8 日までにネットワーク上の Windows デバイスに CVE-2023-36884 エクスプロイトに対するセキュリティ対策を施すことを義務付けるものです。現在のところ、この攻撃を軽減するパッチは Microsoft から提供されていません。Microsoft は、月例のリリースプロセスでセキュリティ更新プログラムを提供するか不定期のセキュリティ更新プログラムを提供するなどして、適切な軽減策を講じるとしています。
この脆弱性が悪用されると、攻撃者は特別な細工を施した Microsoft Office ドキュメントを作成し、このドキュメントが開かれたときに被害者のマシン上でリモートコードを実行できるようになります。この手法は、データの抜き出し、認証情報の収集、敵対的な諜報活動やサイバースパイ活動を目的とした情報の窃取や身代金要求など、多くの悪意のある活動の入口となります。
BlackBerry は NATO サミットの前週に RomCom のフィッシングキャンペーンを発見し、7 月 8 日の公開レポートを発表する数日前、IoC (侵入の痕跡)を含む情報を関係する政府機関に直ちに共有しました。脆弱性の発表は、3 日後の 7 月 11 日、 Microsoft によって行われました。BlackBerry のサイバー脅威テレメトリ、ネットワークデータ解析、およびチームが収集したサイバー兵器一式によると、RomCom は 6 月 22 日に最初の侵入を行っており、キャンペーンに使用された悪意あるコマンドアンドコントロール(C2)を登録し稼動させる数日前にも、再度侵入を実施していたと見られています。
さらに調査を進めると、ハンガリーの IP アドレスから海外のウクライナ支援組織におとりとして送信された悪意のある 2 つのドキュメントと、ウクライナを支援している可能性のある NATO サミットの参加者を標的にした 1 つのドキュメントが発見されました。このドキュメントで使用された感染手法は RTF エクスプロイトであり、ターゲットがドキュメントを開くと被害者のマシンから外部への接続が開始されるというものです。
このスピアフィッシングメールは、意図した被害者にリンクをクリックするよう促します。このリンクをクリックすると、特別に細工された世界ウクライナ人会議(Ukrainian World Congress)のウェブサイトに誘導され、CVE-2023-36884 を悪用してリモートコード実行を可能にする悪意のあるペイロードが送り込まれます。世界ウクライナ人会議の偽サイトの URL は、本物の URL とほぼ同じに見えるもので、正式なドメインが ukrainianworldcongress.org であるのに対し、悪意のあるドメインの URL は ukrainianworldcongress[.]info でした。この手法はタイポスクワッティングと呼ばれ、目的のサイトの正式な URL と自分がクリックしているリンクがわずかに異なることに被害者が気付かないことを期待したものです。
BlackBerry は、Cylance AI を搭載した自社のサイバーセキュリティソフトウェアにより、これらの脆弱性から保護されることを確認しました。CylancePROTECT® は、これらの攻撃との関連が知られているペイロードを検知します。さらなる予防措置として、既知のハッシュをすべて BlackBerry の GBL (グローバルブラックリスト)に追加することで、多層防御を実現します。
また BlackBerry は、この脆弱性を悪用しようとする攻撃の検知を支援するために、カスタムの CylanceOPTICS® ルールも作成しました。BlackBerry のお客様は、このルールをマイアカウントからダウンロードできます。Office および Windows における HTML リモートコード実行の脆弱性(CVE-2023-36884)の Optics ルールに関するナレッジベース(KB)の記事(000111707)をご確認ください。
さらに BlackBerry は、この脆弱性を懸念しているお客様に対して、影響を受ける可能性のあるシステムへのリスクを軽減するため、Microsoft Security Response Center の「Office and Windows HTML Remote Code Execution Vulnerability」というブログ記事に掲載された推奨事項に従うことをお勧めします。
最後に、言うまでもありませんが、スピアフィッシングやタイポスクワッティングの手法を介して開始される攻撃を回避するための簡単な方法は、正規の送信元から送信されたようにみえても、メールで届いたリンクをクリックしないことです。常に、アクセスしたいウェブサイトのアドレスを直接ブラウザーに入力するか、正式なリンクをブックマークに登録してください。侵害されたウェブサイトや偽のウェブサイトに誘導されないよう、入力したリンクに打ち間違いがないかを注意深く確認してください(KrebsOnSecurity が発した警告によると、「.com」を「.cm」と打ち間違えるというのが、最も頻繁に悪用される打ち間違いだということです)。この簡単なヒントを、一般的なセキュリティ衛生の一環として全従業員に伝えてください。
この記事で紹介した悪意のあるコードや活動によって、お客様の組織が侵害された可能性がある場合は、BlackBerry のインシデント対応チームまでご連絡ください。BlackBerry のチームは、あらゆる業種のどのような規模の組織とも連携し、エンドポイントのセキュリティ体制を評価および強化し、ネットワークインフラストラクチャのセキュリティ、整合性、およびレジリエンスを積極的に維持できるよう支援します。
緊急のサポートが必要な場合は、電子メールでご連絡いただくか(DLIR@blackberry.com)、または当社の問い合わせフォームをご利用ください。
.png)
