朝鮮系攻撃グループDarkHotelが悪用した可能性のあるMicrosoftの脆弱性CVE-2020-1380について
本日2つの情報が公開されました。
1つ目は2020年8月11日(現地時間)のPatch Tuesdayで公開された、悪用の事実を確認済みの脆弱性CVE-2020-1380およびCVE-2020-1464について。
こちらは、US-CERTからも注意喚起が出されています。
Patch Tuesdayというのは、当ブログでも何度か紹介していますが、Microsoft製品のセキュリティ更新プログラムが配信される毎月第2火曜日(現地時間)のことです。
2つ目は、2020年8月12日(現地時間)に公開された、Kasperskyの攻撃観測記事です。
この攻撃観測では、脆弱性CVE-2020-1380が朝鮮系の攻撃グループDarkHotelに悪用された可能性について言及しています。
今回は、これらについて、まとめます。
目次
2020年8月のMicrosoftセキュリティアップデートについて
2020年8月のMicrosoftセキュリティアップデートについては、JPCERT/CCやIPAからも注意喚起が発行されており、早急な更新プログラムの適用が推奨されています。
2020年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
Microsoft 製品の脆弱性対策について(2020年8月):IPA 独立行政法人 情報処理推進機構
そして、今回注目すべきなのが、更新プログラムが公開された脆弱性のうちCVE-2020-1380およびCVE-2020-1464については、すでに悪用が確認されているという事実です。
これらの脆弱性について、先述の通り、US-CERTからは別で注意喚起がリリースされています。
簡単に両者の脆弱性をまとめると以下の通りです。
- CVE-2020-1380|スクリプト エンジンのメモリ破損の脆弱性
- Internet Explorer 11に影響を与えるリモートコード実行の脆弱性
- 当該脆弱性を悪用することで、攻撃者がIEの実行ユーザと同じ権限を取得できる
- 権限の高いユーザで利用中、当該脆弱性を悪用されると管理者権限で端末を操作される可能性がある
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2020-1380
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2020-1464
CVE-2020-1464については、報告者やその報告内容についてMicrosoftから明らかにされていませんが、CVE-2020-1380については、報告者が所属するKasperskyへの謝辞が記載されており、冒頭でご紹介した通り、攻撃に関する記事が公開されました。
今回確認されたDarkHotelの手法
Kasperskyが公開した記事では2020年の5月にKasperskyが対応した、韓国企業への攻撃において確認された2つの脆弱性の悪用について紹介されていました。
ひとつは6月に更新プログラムが公開されたCVE-2020-0986(Windows カーネルの特権の昇格の脆弱性)で、もうひとつは先ほど紹介したCVE-2020-1380です。
Kasperskyの調査では、CVE-2020-1380を悪用した攻撃を起点にシェルコードを実行し、ok.exeという名のファイルを一時ファイルに作成。
ok.exeには権限昇格の脆弱性CVE-2020-0986の悪用を含んでおり、実行後splwow64.exeのプロセスで、2種類の実行ファイルを実行することで、攻撃者の用意したC2サーバからzipファイルを取得し、upgrader.exeとして新たに一時フォルダに保存します。
その後、このzipを展開すると推測されますが、Kasperskyはこのファイルが取得される前に、攻撃を防いでおり、詳細の挙動は確認できていないとのことです。
Kasperskyはこれら脆弱性を悪用した攻撃をOperation PowerFallと名付けており、2019年11月に公開したOperation WizardOpiumとの類似性を認めています。
そして、Operation WizardOpiumの標的になったWebサイトのプロファイル情報がDarkHotelとの関連性を裏付けていたのと同様にして、今回のOperation PowerFallでも、背後にDarkHotelが存在するのではないかと予想しています。
DarkHotelとは
そもそもDarkhotelとはなんだろう、という疑問があると思うので、過去の攻撃などをもとに、まとめます。
攻撃の狙いとその手法
Kasperskyが紹介しているDarkHotelの説明記事によると、標的となったユーザは世界でも数千人にのぼり、感染の90%は、日本、台湾、中国、ロシア、韓国で、残り10%を欧米が占めているとのことです。
DarkHotelの目的は、マルウェアの挙動などから、組織や個人の機密情報取集だと考えられています。
活動の手法として、「スピアフィッシングメールに脆弱性を悪用したマルウェアを添付するパターン」と「ファイル共有サイトを悪用して無差別にマルウェアを拡散するパターン」があります。
特に、フィッシングメールに添付されるマルウェアが、AdobeおよびInternetExplorerのゼロディ脆弱性を悪用することが特徴として挙げられます。
ホテルの宿泊者を狙った攻撃
まさに、DarkHotelの名前の由来となった攻撃が、2014年11月に公開された記事で明らかになっています。
攻撃の手法は、高級ホテルのWi-fiに表示されたログイン画面に名前と部屋番号を入力し、ログインを行うとGoogleやAdobe、Windowsのソフトウェアのアップデートに見せかけたマルウェアのインストールに誘導されるというものでした。
そして、マルウェアのモジュールの中には、Firefox、Chrome、Internet Explorerに保存されたパスワードやGmail Notifier、Twitter、Facebook、Yahoo!、Googleのログイン情報を窃取するものも含まれていました。
当時の攻撃の流れを簡単にまとめた図が公開されています。
ちなみに、Youtubeにも動画が公開されています。
攻撃が高級ホテルのWi-fi経由だったことから、組織でも重役の人を標的にしていたと考えられている一方、その手法が無差別だったこともあり、一貫性に欠けるような様子も見受けられていました。
近年の攻撃
IPAのサイバーレスキュー隊(J-CRAT)が先日公開した、活動レポートによると、DarkHotelの関与が疑われるスピアフィッシングメールの国内事例が、2016年から直近の2019年まで断続的に観測されているとのことでした。
https://www.ipa.go.jp/files/000083013.pdf
また、同レポートでも言及されている通り、中国のセキュリティベンダーQihoo360も観測記事を公開しており、VPNサービスの脆弱性を突いた攻撃やIEとFirefoxの2つの脆弱性を利用した攻撃について触れています。
VPNの脆弱性を突いた攻撃については、元記事のリンクが消されてしまったようなので、日本語の解説記事を掲載します。
まとめ
DarkHotelについて、以前、ブログでもまとめたかなと思いきや初だったようです。
今回公開されたMicrosoftの更新プログラムにて確認できた、悪用確認済み脆弱性CVE-2020-1380には、果たしてDarkHotelの関与があるのでしょうか。。。
真偽はわかりませんが、とにもかくにも、少し感度を高めて、更新プログラムの適用を進めていただければと思います。
コロナウィルスだけでなく、こちらのウィルスもEmotetなどを中心に盛り上がっているのが大変残念です。