UPSTYLE

ほぼこもセキュリティニュース By Terilogy Worx

GlobalProtectというファイアウォールプロダクトがあります。
この製品の脆弱性を悪用する攻撃活動の解析の中で確認されたマルウェアに、UPSTYLEがありました。
UPSTYLEとはどのようなものなのでしょうか。

  • Pythonスクリプト
    UPSTYLEはPythonで作成されたマルウェアです。

     

  • UPSTYLEの自動実行機能
    UPSTYLEは「.pth」ファイルとして悪意ある機構を設置します。
    もともとは.pthファイルはPythonスクリプトが実行される際に参照させたいパス一覧を書き込めるファイルです。
    .pthファイルを配置することでpythonのモジュール検索パスに任意のディレクトリを追加できます。
    この本来の用途を実現するために、.pthファイルの内容は、なんらかのPythonスクリプトが実行され、そのなかでなんらかのimport行が動作するたびに実行されることになります。
    もともとは.pthには参照させたいPATHのリストが記述されるのですが、それとは別の機構が記述されたとしても、この同じタイミングで実行されてしまうことになります。

     

  • UPSTYLEのC2とのやり取り手法
    UPSTYLEはC2から指示を受け取って動作します。
    しかし、指示は直接通信して受け取るようにはなっていません。
    指示は間接的に届けられます。
    攻撃者はUPSTYLEの設置された環境のWeb機構に特定のパターンを含む存在しないWebページを要求します。
    このWebページは存在しませんので、これによりWeb機構はエラーをログに書き出します。
    UPSTYLEはこのエラーログを解釈し、C2の指示内容を取り出します。
    UPSTYLEは指示に従って活動を実施し、活動の終了の際には利用したエラーログなどのファイルを内容的にもタイムスタンプ的にも元の状態に戻します。
    このC2とのやり取り機構がUPSTYLEの自動実行機能の内容として実行される構造となっていました。

便利な機構というのは、いつも裏と表があるようです。
今回のGlobalProtectの脆弱性を悪用する攻撃キャンペーンの例では、UPSTYLEの悪事は、結局は、全体としては意図した内容で実行されなかったようですが、このマルウェアで悪用されている手法は非常に強力なものです。
この作戦が他のマルウェアでも採用されてしまうことを想定した対策が必要ということになりそうです。

参考記事(外部リンク):Zero-Day Exploitation of Unauthenticated Remote Code
Execution Vulnerability in GlobalProtect (CVE-2024-3400)

www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。