PortDoorと5つのバックドア

ほぼこもセキュリティニュース By Terilogy Worx

2022年1月以降にいくつかの国の軍事産業と公的機関に対する攻撃が確認されています。
そこで使用されたマルウェアがPortDoorです。

  • 初期感染
    フィッシングメールから始まります。
    フィッシングメールには数式の埋め込まれたMicrosoft Wordファイルが添付されています。
    被害者は単にこのファイルを開くだけで感染が完了します。
  • CVE-2017-11882
    これは初期感染で悪用される脆弱性です。
    Microsoft Officeのコンポーネントの一つである数式エディターの古いバージョンに存在する脆弱性です。
    細工された数式がこの古い数式エディターに読み込まれると数式に仕込まれたバイトシーケンスが読み込まれ任意のコマンドが実行されます。
    異常な数式が文書の中にありますのでそれを見れば異常だとわかるという見解もあるようですが、その数式を見た時にはすでにマルウェアは実行されています。
  • 送り込まれるPortDoor
    数式エディターが実行する機構がPortDoorを持ってきます。
    そしてMicrosoft Wordアドインとして感染先PCに配置されます。
    PortDoorはバックドア機能付きの情報収集マルウェアです。
  • PortDoorの任務
    起動されると感染PCの情報を収集します。
    収集された情報はC2に送信されます。
    なんらかの評価の結果、場合によっては追加のマルウェアが次々と流し込まれます。
    PortDoorはプロファイリングのための情報収集が任務なのでしょうか。
  • nccTrojan
    追加されるマルウェアの一つです。
    .cabアーカイブとしてダウンロードされて感染先で解凍されます。
    nccTrojanはバックドア機能付きの情報収集マルウェアです。
  • CotxとDNSep
    これらも追加されるマルウェアです。
    nccTrojanと同じように.cabアーカイブとしてダウンロードされて感染先で解凍されます。
    これらもバックドア機能付きの情報収集マルウェアです。
  • Logtu
    これも追加されるマルウェアです。
    多くの機能の付いたバックドアです。
  • CotSam
    これも追加されるバックドアタイプのマルウェアです。

合計で6つものバックドアが感染先で動き出します。
これらはいずれもバックドアでなんらかのDLLに張り付く形式で動作します。
バックドアによって狙うDLLの種類が異なりますので、どれかが感染失敗しても1つくらいは感染できるだろうというような作戦なのかもしれません。

マルウェアは感染すると情報を収集し被害組織内で横展開します。
ドメインコントローラーまでその感染は及びます。
ドメインコントローラーが感染するとActive Directoryのユーザ情報が取得されます。
組織の保管する各種ファイルも盗み出します。
盗み出す宛先は1段階目のC2サーバになっていて、その後そのファイル群は2段階目のC2サーバに送られます。
1段階目のC2は複数ありますので、分散させて取り出して集約するイメージです。
徹底的で壮大なスパイ活動と言えそうです。

感染が開始してしまうともう途中から止めることは容易ではなさそうです。
初期感染に被害者の操作が必要ないことも最近の大きな特徴です。
攻撃段階のなるべく初期に近いところで対策することが重要です。
対策できる脆弱性には対応し、不要なファイルは開かない。システムは最小特権となるように構成する。
できることを積み重ねていきましょう。

参考記事(外部リンク):Targeted attack on industrial enterprises and public
institutions

ics-cert.kaspersky.com/publications/reports/2022/08/08/targeted-attack-on-industrial-enterprises-and-public-institutions/