最近公表された「Microsoft Office」の脆弱性を悪用して、感染したシステムの制御を乗っ取り、攻撃者がファイルを取得したり、コマンドを実行したりすることを可能にする機能を持つマルウェアが配布されている。
このマルウェア「Cobalt」が強力な機能を持っているのは、有名な正規の侵入テストツール「Cobalt Strike」を利用しているためだ。
Cobaltには、17年前から存在していたが、今月になって情報が開示され修正された「Microsoft Office」の脆弱性を悪用する攻撃コードが使用されている。
この脆弱性(CVE-2017-11882)はMicrosoft Officeが特定のメモリ中オブジェクトを適切に処理していなかったことが原因で発生したもので、悪用されるとリモートから任意のコードを実行される可能性がある。標的となったユーザーが管理者権限を持っている場合、コマンドを実行したり、悪質なソフトウェアを送り込むことで、システムを完全に乗っ取ることができる。
この脆弱性に関する情報が開示されたのはわずか2週間前だが、Fortinetの研究者らは、ユーザーがセキュリティアップデートをインストールする前にマルウェアを配布しようと、攻撃者がすでにこの脆弱性を利用していることを明らかにしている。
この攻撃はロシア語圏のユーザーを標的としたもので、VISAから送信された「payWave」サービスの規約変更通知を装ったスパムメールを通じて配布されている。
メッセージにはパスワードで保護されたRTF文書が添付されており、ユーザーにはファイルを開くためのパスワードも提供される。RTFファイルには悪質なコードが含まれているが、パスワードで暗号化され、自動解析システムでの検知を困難にしている。
ファイルを開くと、「Enable Editing」と書かれている以外には、ほぼ空白の文書が表示されるが、その裏側では、Cobalt Strikeをダウンロードして、対象システムを乗っ取るためのPowerShellスクリプトが実行される。
インストールが成功すると、攻撃者はCobalt Strikeのコマンドを使用することで、対象システムを操作したり、対象システムのネットワーク上で活動したりすることができる。
Microsoftは、CVE-2017-11882の脆弱性を修正するアップデートをダウンロードできるようにしている。すでにアップデートをインストール済みのユーザーは、この攻撃の影響を受けない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス