2021年9月、Squirrelwaffleは、スパムキャンペーンを通じて拡散される新種のローダとして登場しました。このキャンペーンは、悪意のある電子メールを既存のメールチェーンに返信する形で送信していたことで知られています。これは、不正活動に対するメール受信者の警戒心を弱めるための戦術です。これを可能にするために攻撃者は、Microsoft Exchange Serverの脆弱性である「ProxyLogon」と「ProxyShell」の双方に対する脆弱性攻撃ツール(エクスプロイト)を連鎖的に悪用していたとトレンドマイクロは推測しています。
トレンドマイクロのインシデント・レスポンスチームは、中東で発生したSquirrelwaffleに関連するいくつかの侵入事例を調査しました。トレンドマイクロは、これらの攻撃手口に上記のエクスプロイトが関与しているかどうかを確認するため、初期アクセス時の手口について掘り下げて調査しました。
今回の推測は、トレンドマイクロが観測したすべての侵入事例が「ProxyLogon」と「ProxyShell」に対して脆弱とみられるオンプレミスのMicrosoft Exchange Serverから発生していたという事実に起因しています。本ブログ記事では、これらの観測された初期アクセス時の手口と、Squirrelwaffleキャンペーンの初期段階について詳説します。
■ Microsoft Exchangeへの感染手口
トレンドマイクロは、さまざまな侵入手口により侵害された3台のExchange server上のIIS(Internet Information Service)ログ内に、脆弱性「CVE-2021-26855」、「CVE-2021-34473」、「CVE-2021-34523」が悪用された証拠を見つけました。これらのログはProxyLogon(CVE-2021-26855)およびProxyShell(CVE-2021-34473、CVE-2021-34523)脆弱性が侵入手口に用いられたことを示しています。マイクロソフト社は、2021年3月に脆弱性「ProxyLogon」に対処する修正プログラム(パッチ)をリリースしました。加えて、2021年5月または7月に供給されたセキュリティアップデートを適用したExchange serverは、脆弱性「ProxyShell」から保護されています。
CVE-2021-26855:事前認証を行うプロキシに内在する脆弱性
このサーバーサイド・リクエスト・フォージェリ(SSRF)の脆弱性は、特別に細工したWebリクエストをExchange Serverに送信することで、攻撃者のアクセスを可能にする恐れがあります。このWebリクエストには、Exchange Web Services(EWS) APIエンドポイントを対象としたXMLペイロードが含まれています。
このWebリクエストは、特別に細工されたCookieを使用して認証を回避します。そして、認証されていない攻撃者にXMLペイロード内にエンコードされたEWSリクエストの実行を可能にし、最終的には被害者のメールボックス上で遠隔操作を行えるようにします。
トレンドマイクロによるIISログの分析結果から、攻撃者が侵入手口に一般公開されているエクスプロイトを悪用していることがわかりました。攻撃者は、このエクスプロイトを悪用することで、ユーザのセキュリティ識別子(SID)や電子メールを取得できるようになるほか、被害者の電子メールの検索・ダウンロードも可能になります。図1~図3では、IISログから得た証拠を強調表示すると共に、エクスプロイトのコードを示します。
図2、図3に示すログは、攻撃者が脆弱性「ProxyLogon」を悪用して、被害者のセキュリティ識別子や電子メールを取得し、悪意のあるスパムを送信するために使用していたことも示しています。
CVE-2021-34473:事前認証時にパスを混乱させる脆弱性
このProxyShellの脆弱性は、明示的なログオンURLに対するURLの正規化を悪用しており、接尾辞がautodiscover/autodiscover.jsonの場合、ログオン用メールがURLから削除されます。これにより、任意のバックエンドURLに、Exchange serverアカウント(NT AUTHORITY\SYSTEM)と同じアクセス権が付与されます。
CVE-2021-34523:Exchange PowerShellバックエンドに存在する特権昇格の脆弱性
Exchange serverには、電子メールの読み取りと送信に使用可能なPowerShell Remoting機能があります。NT AUTHORITY\SYSTEMはメールボックスを持たないため、この機能を使用することはできません。ところが、上記の脆弱性(CVE-2021-34473)を介して直接アクセスされた場合は、バックエンド/PowerShellにX-Rps-CATのクエリ文字列パラメータを提供することが可能になります。バックエンド/PowerShellは、逆シリアル化されたのち、ユーザ・アイデンティティを復元するために使用されます。このため、ローカル管理者になりすましてPowerShellコマンドを実行するために悪用することができます。
これにより攻撃者は、正規のメールチェーンを乗っ取ることができるほか、乗っ取ったメールチェーンに返信する形で悪意のあるスパムを送信することが可能になります。
■ Squirrelwaffleを拡散するマルウェアスパム
観測された拡散手口の1つとして、影響を受けたネットワーク内のすべての内部ユーザは、既存の電子メールスレッドに対する正規の返信メッセージとして送信されたスパムメールを受信しました。今回観測されたすべての電子メールは、中東でのスパムキャンペーンのために英語で書かれていました。地域によっては別の言語も使用されていましたが、ほとんどは英語で書かれていました。さらに注目すべき点は、被害者が使用するドメイン内の実際のアカウント名が送信者および受信者として悪用されていたため、受信者がリンクをクリックして不正なMicrosoft Excelスプレッドシートを開く可能性が高くなります。
トレンドマイクロは、同じ拡散手口を経て受信したスパムメールのヘッダを分析したところ、このメールパスは内部ネットワーク(3台の内部Exchange serverのメールボックス間)内に設定されたものであり、これらのスパムメールが外部の送信者、オープンリレーサーバ、あるいはメッセージ転送エージェント(Message Transfer Agent)を介して送信されたものではないことがわかりました。
上記の手口を用いてマルウェアスパムがすべての内部ドメインユーザに拡散されると、メールゲートウェイはこれらExchangeの内部メールは管轄外であるため、フィルタリングしたり検疫したりすることができません。つまり、Exchange上に対策製品がない場合、攻撃を検知または阻止できないことになります。さらに攻撃者は、脆弱なExchange serverにアクセスした後、マルウェアスパムをネットワーク環境全体に拡散する前に、内部活動(横展開)を実行するためにマルウェアやツールを作成したり実行したりはしませんでした。そのため、ネットワーク上やサーバ上での不審な活動の兆候が検出されることもありませんでした。
■ 悪意のあるMicrosoft Excelファイル
攻撃者は、Exchange serverを侵害して内部メールを拡散しました。これはすべて、ユーザが不意を突かれてリンクをクリックし、作成されたMicrosoft ExcelまたはWordファイルを開いてしまう可能性を高めるために行われました。
悪意のある電子メール内に使用されたリンク(「aayomsolutions[.]co[.]in/etiste/quasnam[]-4966787」および「aparnashealthfoundation[.]aayom.com/quasisuscipit/totamet[-]4966787」)はいずれも感染マシン内にZIPファイルを作成します。今回の場合、ZIPファイルには「QAKBOT(別称:QBOT)」に関連する悪意のあるDLLをダウンロードして実行する不正なMicrosoft Excelシートが含まれています。
これらのシートには、悪意のあるDLLをダウンロードして実行する不正なExcel 4.0マクロが含まれています。
これらのスプレッドシートは、ハードコードされたURL「hxxps:[//]iperdesk.com/JWqj8R2nt/be.html」、「hxxps:[//]arancal.com/HgLCgCS3m/be.html」、「hxxps:[//]grandthum.co.in/9Z6DH5h5g/be.html」から悪意のあるDLLをダウンロードします。
このDLLは、C:Datop\内に作成されます。最後に、Excelファイルは以下のコマンドを用いてDLLを実行します。
- C:\Windows\System32\regsvr32.exe” C:\Datop\good.good
- C:\Windows\System32\regsvr32.exe” C:\Datop\good1.good
- C:\Windows\System32\regsvr32.exe” C:\Datop\good2.good
DLLは実行されると、Microsoft Windowsのシステムプロセス(c:\windows\system32\mobsync.exe)の挿入(インジェクション)を開始します。最後に、遠隔操作(C&C)サーバ(hxxp:[//]24.229.150.54:995[/]t4)との通信のやり取りを行ないます。
■ セキュリティに関する推奨事項
上記のように攻撃者は、脆弱性「ProxyLogon」と「ProxyShell」を悪用することで、悪意のある電子メールの拡散を阻止する一般的なセキュリティチェックを回避することを可能にしました。これは、攻撃の成否においてユーザがいかに重要な役割を果たしているかを示すものです。Squirrelwaffleキャンペーンに対してユーザは、悪意のある電子メールやファイルを隠すために用いられている様々な戦術に警戒する必要があります。信頼できる相手から送られてきた電子メールであっても、そのメールに含まれるリンクやファイルが安全であることを十分に保障するものではありません。
Microsoft Exchange Serverの脆弱性、特にProxyLogonとProxyShell(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)に対処するパッチがすでに適用されていることを確認することが重要です。マイクロソフト社は、2021年3月にリリースしたProxyLogonに対処するパッチを適用した場合でも、ProxyShellの脆弱性は保護されていないため、2021年5月または7月にリリースされた新しいセキュリティアップデートもインストールする必要があることを繰り返し伝えています。
その他に考慮すべきセキュリティのベストプラクティスを以下に示します。
- すべてのExchange server上で仮想パッチモジュールを有効にし、これらの脆弱性に対処するパッチがまだ適用されていないサーバに対してクリティカルレベルの保護が提供されるようにすること。
- 事後対応(EDR:Endpoint Detection and Responce)ソリューションを重要なサーバ内に用いて、マシン内部を可視化し、サーバ上で実行されている不審な動作を検出できるようにすること。
- サーバにエンドポイント保護設計を用いること。
- 電子メール、ネットワーク、ウェブにサンドボックス技術を適用し、類似したURLや検体を検出できるようにすること。
■ トレンドマイクロの対策
法人向けのエンドポイント製品「Trend Micro Apex One
」は事前防御(EPP)と事後対応(EDR)を統合し、高い防御力を実現します。また、クロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。
「Trend Micro XDR」は高度な分析と人工知能(AI)技術を使用して、エンドポイント、メール、ネットワークなどのアラートを相関させ、一つの防御ポイントの情報だけではわからないような脅威を可視化し、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを迅速に把握でき、被害を最小化することができます。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「Squirrelwaffle Exploits ProxyShell and ProxyLogon to Hijack Email Chains」
by Mohamed Fahmy, Sherif Magdy, Abdelrhman Sharshar
記事構成:岡本 勝之(セキュリティエバンジェリスト)
平子 正人(セキュリティマーケティンググループ)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro Research)
The post 新種マルウェア「Squirrelwaffle」の拡散手口:脆弱性「ProxyShell」と「ProxyLogon」を悪用しExchange Serverを乗っ取る first appeared on トレンドマイクロ セキュリティブログ.