CVE-2024-30088→STEALHOOK

OilRigとして知られる脅威アクターの新しい活動が観測されています。
これまでの活動内容を変更し、その流れの中にこれまで使っていなかった脆弱性を組み込んで展開しています。
どのような流れで侵害が起こるのでしょうか。

• web shell
  最初の段階はweb shellです。
  脆弱なWebサーバを発見すると、そこにweb shellを送り込みます。
  web shellにはいろいろな実装がありますが、ここで使われているweb shellはPowerShellコードの実行機能を持ち、ファイルのダウンロードとアップロードも持ったものになっています。
  これを使って次の段階に進みます。
• ngrok
  ngrokはサーバ機器上でしかListenしていないポートに外部から直接アクセスすることを可能にするトンネリングツールです。
  もともと開発に使われるツールですが、攻撃にもよく悪用されるツールです。
  このngrokを送り込みます。
• CVE-2024-30088
  CVE-2024-30088はWindows カーネルの権限昇格の脆弱性です。
  この脆弱性をRunPE-In-Memoryというオープンソースツールを組み合わせて使って、エクスプロイトをメモリに読み込みます。
  メモリに読み込まれたマルウェアはCVE-2024-30088によって特権を獲得します。
• Password Filter DLL
  特権動作できるようになった攻撃者はPassword Filter DLLをシステムに登録します。
  そしてエクスポート機能により、機器上のローカルアカウントを介してユーザーの資格情報を抽出します。
• STEALHOOK
  攻撃者はSTEALHOOKも設置します。
  STEALHOOKはバックドア型マルウェアです。
  これを使って、入手した平文パスワード情報を暗号化した状態にし、現地にあるExchange Serverを使ってデータを外部に送信します。
  メールサーバからメールが送信されるのは普通のことです。
  この通信を他の正常なメールの通信と区別することは難しそうです。

この攻撃の流れの中でCVE-2024-30088は重要な位置を占めています。
これがあることによって特権を獲得することになっているためです。
この脆弱性は2024年6月にすでに対応するパッチがリリースされています。
タイムリーにパッチ適用が十分に行われていれば、この流れでの被害にあうことはなさそうです。

機器の管理と運用、野良機器の発見と排除、こういった通常の活動が必要十分に実施されていることで対処できる問題も多いでしょうね。

Earth Simnavaz (aka APT34) Levies Advanced Cyberattacks Against UAE and Gulf Regions

https://www.trendmicro.com/en_us/research/24/j/earth-simnavaz-cyberattacks-uae-gulf-regions.html