CVE-2019-1458とxPack

ほぼこもセキュリティニュース By Terilogy Worx

xPackはバックドアです。
中国に関連しているとされているAntlionがこのマルウェアを使用しています。
このxPackを使った攻撃活動が非常に長期間にわたって実施されていた事例がいくつか確認されています。
175日間潜伏していたという事例や250日間潜伏していたという事例があります。
送り込まれたxPackはこんな感じです。

  • WMIコマンドをリモートで実行する
    WMIはWindows Management Instrumentationです。
    Windows OSを管理することを目的にMicrosoftが開発した機構です。
    WMIを活用することで、Windowsシステムの状態を示す情報を取得できます。
  • EternalBlueエクスプロイトを動かす
    最初に観測されてからかなりの時間が経過していますが、いまも使われることが少なくないようです。
  • .NETローダーとして動作する
    AESで暗号化されたペイロードをフェッチして実行する.NETローダーとして動作します。
    持ってくるペイロードには、C++で書かれた次の段階のローダーや、SMBセッションの列挙ツール、ファイル転送ツール、Mimikatzを使った認証回避のためのツールなどがあります。
  • データを取り出す
    SMBを介して共有をマウントしてC2サーバにデータを送ります。

xPackは特権昇格にCVE-2019-1458を使用します。
名前からもわかるようにこの脆弱性は新しいものではありません。
2019年12月に出された更新を適用していない環境がこの脅威の被害にあっています。

攻撃活動の巧妙さは加速しています。
問題のあるURLを訪問してしまうこともあるかもしれません。
そんなときに少しでも被害を成り立たせてしまう可能性を下げるということを考える場合、できる対策は継続的なパッチ適用なのではないでしょうか。

参考記事(外部リンク):State hackers’ new malware helped them stay undetected for
250 days

www.bleepingcomputer.com/news/security/state-hackers-new-malware-helped-them-stay-undetected-for-250-days/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。