VBAマクロ型の次は何が流行する？ 攻撃者の動きで読むマルウェア配布のトレンド：Cybersecurity Dive

MicrosoftがVBAマクロのブロックし始めてから、サイバー犯罪者たちは新たな攻撃手法を模索するようになった。

[David Jones，Cybersecurity Dive]

　セキュリティ企業のProofpointが発表した報告書によると、2022年にMicrosoftが原則としてVBAマクロをブロックする取り組みを始めた後、金銭的な動機で攻撃を働くハッキンググループが新たな方法を採用し始めた。（注1）。

　Proofpointによると2022年6月以降、「HTMLスマグリング」と呼ばれる攻撃手法が急激に増加し、同年10月に最初のピークを迎えた後、2023年2月には流行の手法として再び使われるようになった。この手法では、HTMLの添付ファイル内にエンコードされたスクリプトを仕込み、ユーザーがリンクを開くと悪意のあるコードをPCにロードする。

　この技術は当初、TA570とTA577という既知のサイバー攻撃者によって使用され、2022年10月以降は他のグループの攻撃キャンペーンにも使用されるようになった。2022年12月以降、イニシャルアクセスブローカーを含む複数のグループが攻撃を開始するためにPDFの添付ファイルを使用していることが観察され、2023年初めにはそれが急増している。

VBAマクロがブロックされ、犯罪者たちは戦術を変更した

　2021年10月と2022年2月に（注2）、Microsoftは原則としてXL4マクロとVBAマクロをブロックするための手順を発表した。犯罪グループはそれまで、VBAマクロを初期アクセスのコードとして使用し、攻撃を実行してきた。

　Proofpointによれば、2021年にはVBAマクロを使用した約700のキャンペーンと、ほぼ同じ数のXL4マクロを使用したキャンペーンが観察されている。しかし、Microsoftがこれらのマクロをブロックし始めた後、どちらのタイプの使用も3分の2に減少した。

　2023年には、攻撃者が戦術を変え始めたためにこれらのマクロを使用した攻撃はほとんどの調査データに現れなくなった。

　Proofpointのシニア脅威インテリジェンス・アナリストであるセレナ・ラーソン氏は「攻撃者は攻撃における一連の流れで、異なるさまざまなファイル形式を使用し、定期的にそれらを変更し始めた」と述べた。

　ラーソン氏によると、HTMLスマグリングやPDFファイルに加えて、2023年初頭以降、研究者は埋め込まれたスクリプトを含むOneNoteファイルの使用の急増を観察しているという。

（注1）Crime Finds a Way: The Evolution and Experimentation of the Cybercrime Ecosystem（Proofpoint）
（注2）Threat actors shifting tactics as Microsoft blocks, unblocks and reblocks macros（Cybersecurity Dive）

原文へのリンク