米国時間9月29日の報告によると「Witchetty(ウィチェッティ)」と名づけられたスパイ集団は「LookingFrog(ルッキンフロッグ)」としても知られ、中国が支援するサイバー攻撃集団APT10「Cicada(シケイダ)」と関係があると考えられており、武器化したWindowsロゴを使用して悪意のあるコードをばらまいている。
Symantecの研究者によると、この攻撃は2022年2月から続いており、中東2カ国の政府や、アフリカのある国の証券取引所を標的としている。
Windowsロゴがマルウェアを配布する仕組みとは?
マルウェア「Backdoor.Stegmap」は、ステガノグラフィ(検知を逃れるために、普通に見える画像ファイル内にコードを隠すこと)を利用している。問題のWindowsロゴは、バックドアを展開するために使用される。このペイロードは、ディレクトリの作成と削除、ファイルのコピーと削除、実行ファイルのダウンロードと実行、レジストリキーの作成と読み取り、ローカルファイルの窃取が可能であると研究者は述べている。
Windowsロゴは無害に見え、信頼できるクラウドホストにホストされており、最初のネットワークアクセスが達成された後に表示されるので、呼び出されたときに、セキュリティアラームを発動せずにダウンロードされる可能性が非常に高くなるのだ。
ネットワークへの初期アクセスには連鎖型エクスプロイト攻撃が必要
この攻撃は、最初にネットワークアクセスを必要とし、Microsoft Exchange ProxyShellおよびProxyLogonの脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207、CVE-2021-26855、CVE-2021-27065)を利用し、Webシェルをインストールする連鎖攻撃でこれを獲得しているように見える。
侵害の指標を含む詳細は、本記事の冒頭でリンクしたSymantecのレポートに記載されている。
(forbes.com 原文)
