8年越しのVelvetSweatshopのバグがLimeRATキャンペーンで復活

年老いたRATは古いトリックを学ぶ。

研究者が、Excelファイルを利用してLimeRATマルウェアを拡散させる新たなキャンペーンを発見しました。
暗号化されたファイルにハードコードされたVelvetSweatshopのデフォルトパスワードを利用しています。

LimeRATは、攻撃者が感染したシステムにアクセスし、ランサムウェア、クリプトマイナー、キーロガー、ボットネットクライアントなど、さまざまなマルウェアをインストールすることができる、フル機能を備えたリモートアクセスツール/バックドアです。

観測されたキャンペーンでは、脅威者がLimeRATペイロードを含む読み取り専用のExcelファイルを作成しています。
通常、Excelファイルを含む悪意のあるスパムのシナリオでは、ファイルは暗号化されており、受信者はファイルを復号化するためにパスワードを使用する必要があります。
このパスワードは通常、攻撃者がソーシャルエンジニアリングした電子メールの本文に含まれています。

Mimecast Threat CenterのMatthew Gardiner氏によると、この新しい攻撃は、「読み取り専用」モードを使用して、悪意のある暗号化されたExcelファイルを送信するという、これまでとは異なる手法を用いています。

"このキャンペーンは、企業がその存在を十分に認識しているものであっても、サイバー犯罪者がいかにして『古い』基本的な技術をベースに悪用を提供し続けているかを示しているため、注目に値します」とGardiner氏はThreatpostに語っています。

任意の与えられた暗号化されたExcelファイルを復号化するために、Excelはまず、ファイルを復号化して開き、オンボードのマクロやその他の潜在的に悪意のあるコードを実行するために、埋め込まれたデフォルトのパスワードである「VelvetSweatshop」を使用しようとします。
同時に、ファイルを読み取り専用モードにしておく。
と、研究者は2020/3/31のブログ記事にこの研究について書いて説明しています。

Excelが「VelvestSweatshop」パスワードを使用してファイルの復号化に失敗した場合、アプリはユーザーにパスワードの挿入を要求します。
しかし、読み取り専用モードでは、このステップはスキップされ、そこに新しいキャンペーンの脅威があるとGardiner氏は述べています。

"Microsoft Officeシステムは、ファイルが読み取り専用であることを示す以外に、警告ダイアログを生成しません。
"この読み取り専用の技術を使用することで、攻撃者はユーザーに何も要求せずにファイル暗号化の難読化の利点を享受することができ、悪用されるために意図した被害者が必要とする一歩を奪うことができます。"

これにより、疑ってもいない被害者がそれらを開いたり、マルウェアを拡散したりすることがさらに容易になります。

"この新しい研究は、Excelファイルをロックするのではなく、読み取り専用にすることで、ファイルを開くために外部で作成したパスワードを必要とせずにファイルを暗号化し、被害者を騙してマルウェアをインストールさせることが容易になることを実証しています」とGardiner氏は書いています。

今回のキャンペーンでは、サイバー犯罪者は「スプレッドシートの内容を暗号化して悪用とペイロードを隠すことで、マルウェア対策システムを騙そうと、他の技術を混ぜて使用した」とGardiner氏は付け加えています。

ハードコード化されたパスワードは、2012年に対処されたよく知られた問題（CVE-2012-0158）で、2013年にはVirus Bulletinでも発表されていました。Mimecastは、この脆弱性が再び利用されていることをMicrosoftに通知したと述べています。

"VelvetSweatshopの手法は、より標的を絞ってより巧妙にすることができる攻撃の基礎能力として活用され、スピアフィッシングをより成功させるために継続的に開発されてきました。"
とGardiner氏はThreatpostに語り、"マイクロソフトからの変更や修正はまだ行われていないようです。
その場合、この方法に対する防御力を向上させるためには、組織はより高度なマルウェア対策技術を使用してトラフィックを監視し、ユーザーがより多くのサイバー意識を持つように訓練する必要があります。

Mimecastによると、ExcelファイルのようなMicrosoft Officeアプリケーションは、その普及した使用方法と認識のしやすさから、マルウェアの配信手段としてよく利用されています。
"確かに、請求書や財務スプレッドシートの添付ファイルを電子メールで受け取って驚く人はほとんどいないでしょう」とGardiner氏は書いています。

もちろん、このExcelベースのマルウェア配信技術に内在する一般的な機能を考えれば、どのようなタイプのマルウェアであっても配信の候補にはなります。

このような攻撃の被害に遭わないためには、ファイルが添付されたすべての電子メールを精査することに加えて、管理レベルでは、コマンドアンドコントロール（C2）サービスへのアウトバウンド接続がないかネットワークトラフィックを監視することを推奨しています。
また、エンドポイントセキュリティシステムを継続的に更新して、ホスト上でマルウェアがロードされているか、または実行されているかの検出を強化することも、攻撃を軽減することができるとMimecastは述べています。

もちろん、COVID-19のパンデミックの後に出現した在宅ワーク・フロム・ホーム（WFH）現象によって危険性は悪化しています。

"ハイソレートのCTOであり共同創業者であるタル・ザミール氏は、メールでのコメントで次のように述べています。
「古いものは新しいものであり、Excelファイルに埋め込まれたLimeRATトロイの木馬を利用した最新のキャンペーンのように、古いものは新しいものです。
"しかし、課題は、私たちの多くが自宅で仕事をしていることです。警戒心が薄れているかもしれませんし、仕事から自宅で子供を教えること、そしてこのような困難な時期に友人や家族と連絡を取り合うことなど、あらゆることに追われているかもしれません。
このことを考えると、電子メール、ファイル共有、ウェブ会議など、これらのコミュニケーションの大部分を同じラップトップから管理している可能性が高いです。

元記事
https://threatpost.com/velvetsweatshop-bug-resurrected-limerat/154310/

—-
マルウェアをインストールさせるために、ExcelとかWordを開かせてダウンローダを実行させる手口はよく見られる。
Excelの特別パスワード（デフォルトパスワードとも言える）を組み合わせるとアンチウイルスをすり抜けさせ、さらに利用者にも意識させずにRATをインストールできるとは。
ふるまい検知やC&Cサーバをブロックできれば良いが、パターンファイルに頼ったアンチウイルスソフトだと穴になりそうな・・・

VelvetSweatshopについての解説
https://blog.cybozu.io/entry/2017/03/09/080000