SteganoAmorのステガノグラフィ

ステガノグラフィは、なんらかのメッセージや物体の中に情報を隠す手法です。
ステガノグラフィを使えば、テキスト、画像、動画、音声コンテンツなど、ほとんどのデジタルコンテンツを隠すことができます。
隠されたデータは送信先で抽出されて使用されます。

このステガノグラフィは新しい手法ではありません。
ある程度の期間をおいて大きな話題になることがあるように思えます。
またもや、ステガノグラフィを使った攻撃キャンペーンが確認されています。

• TA558
  この攻撃キャンペーンは、TA558が展開しているものと考えられています。

   

• ターゲット
  観測数から考えるとラテンアメリカが重点地域になっているように見え、他の世界中のさまざまな国もターゲットにしています。
  攻撃の数は300以上が確認されています。

   

• SteganoAmor
  攻撃にはステガノグラフィの技法が使用されています。
  そして、攻撃のなかでいくつものRTFファイルが使用されるのですが、その多くのファイル名が愛に関連した名前となっていました。
  Amorというローマ神話の愛の神と使用する技法から、この攻撃キャンペーンはSteganoAmorと命名されました。

   

• CVE-2017-11882
  この攻撃キャンペーンでは、CVE-2017-11882が悪用されます。
  CVEの番号からもすぐにわかるように非常に古い脆弱性です。
  これはMicrosoft OfficeのWindows版の数式エディターのセキュリティバグです。
  ユーザーの介入なしに悪意のあるコードを実行するために悪用される可能性がある脆弱性です。
  2017年11月のMS Tuesdayで更新が配布されました。

   

• 攻撃の基本的な流れ
  攻撃キャンペーンには多くの類似の活動が含まれていて、多数のマルウェアが流し込まれます。
  ですが、今回の攻撃キャンペーンでTA558が選択した攻撃の流れは基本的に同じです。
  無害に見えるメールが来る（侵害された通常のSMTPサーバから来ます）→被害者が添付ファイルを開く→VBスクリプトがダウンロードされる→Base64でエンコードされたJPG画像ファイルが取得される→イメージの中のPowerShellが抽出され実行される→Base64でエンコードされたマルウェアバイナリを取得される、という感じです。

   

• 流し込まれる最後の部分
  最後の部分はマルウェアです。
  いくつものマルウェアが同様の手口で流し込まれます。
  AgentTesla、FormBook、Remcos、LokiBot、Guloader、Snake Keylogger、XWormなどです。

この攻撃ではメール送信元は侵害された一般のSMTPサーバとなっています。
また、収集した情報の取り出し先も、侵害されてC2とされてしまった一般のFTPサーバです。
この意味からはFQDNやIPアドレスの評判情報のみに頼ってこの活動を阻止するのは容易ではなさそうです。

しかし、です。
そもそも、この攻撃が依存しているのは、CVE-2017-11882です。
6年以上前に提供された修正を適用していない環境が攻撃対象となってしまっています。
脆弱性修正の即時適用は簡単でない場合もあるように思えますが、6年かかっても適用できないような事情があるとは想像しにくいです。
自分たちの環境を把握して適切に運用していくことで、この脅威は怖いものではなくなるように思えます。

参考記事（外部リンク）：SteganoAmor campaign: TA558 mass-attacking companies and
public institutions all around the world
www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/steganoamor-campaign-ta558-mass-attacking-companies-and-public-institutions-all-around-the-world/