FortiGuard Labsは、マルチステージフィッシングキャンペーンについて新たな研究結果を発表しました。このキャンペーンでは、XWorm Remote Access Trojan (RAT) の新バリアントが、CVE-2018-0802の脆弱性を利用して悪用されています。
XWorm RATとは
XWormは、2022年に初めて観察された.NETベースのRATで、サイバー犯罪マーケットプレイスで活発に取引されており、豊富な機能セットとプラグインベースのアーキテクチャにより、低スキルから高度なオペレーターまで幅広いユーザーを引きつけています。
フィッシングキャンペーンの概要
XWorm RATキャンペーンは、支払い詳細や購入注文、署名された銀行または配送書類など、さまざまな言語でテーマ化されたフィッシングメールから始まります。これらの罠は単純なビジネス前提を用いてターゲットにExcel追加機能ファイル(.XLAM)を開くよう説得します。
攻撃の詳細
.XLAMファイルが開かれた後、埋め込まれたOLEオブジェクトがCVE-2018-0802をトリガーし、悪意のあるExcel追加機能アタッチメントを通じてXWorm RATの新バリアントを配布します。
感染チェーン
XWormは、Windowsシステム全体への完全なリモート制御を可能にし、データ窃取、リモートデスクトップコントロール、DDoS攻撃、およびランサムウェアの実行が可能です。
検出回避技術
- XWormはファイルシステムを触らずに動作し、Msbuild.exeプロセスを使用して署名付きの信頼性のあるプロセス内で実行されます。
- C2通信はAES暗号化チャネルで行われます。
防御策
このキャンペーンは、脅威アクターが古いOfficeの脆弱性を武器として使用し続けることを示しています。防御者は、特にレガシーエクイレーションエディタコンポーネントに対してすべてのOfficeパッチを適用し、マクロ、OLE、HTA、およびPowerShellの実行に対する厳格な制御を強化する必要があります。
まとめ
XWorm RATキャンペーンは、フィッシングとCVE-2018-0802の脆弱性を利用して検出を回避し、攻撃者に高度なコントロール機能を提供します。防御者はこれらの脅威に対抗するために適切な対策を講じる必要があります。