VBAマクロ型の次は何が流行する? 攻撃者の動きで読むマルウェア配布のトレンド:Cybersecurity Dive
MicrosoftがVBAマクロのブロックし始めてから、サイバー犯罪者たちは新たな攻撃手法を模索するようになった。
セキュリティ企業のProofpointが発表した報告書によると、2022年にMicrosoftが原則としてVBAマクロをブロックする取り組みを始めた後、金銭的な動機で攻撃を働くハッキンググループが新たな方法を採用し始めた。(注1)。
Proofpointによると2022年6月以降、「HTMLスマグリング」と呼ばれる攻撃手法が急激に増加し、同年10月に最初のピークを迎えた後、2023年2月には流行の手法として再び使われるようになった。この手法では、HTMLの添付ファイル内にエンコードされたスクリプトを仕込み、ユーザーがリンクを開くと悪意のあるコードをPCにロードする。
この技術は当初、TA570とTA577という既知のサイバー攻撃者によって使用され、2022年10月以降は他のグループの攻撃キャンペーンにも使用されるようになった。2022年12月以降、イニシャルアクセスブローカーを含む複数のグループが攻撃を開始するためにPDFの添付ファイルを使用していることが観察され、2023年初めにはそれが急増している。
VBAマクロがブロックされ、犯罪者たちは戦術を変更した
2021年10月と2022年2月に(注2)、Microsoftは原則としてXL4マクロとVBAマクロをブロックするための手順を発表した。犯罪グループはそれまで、VBAマクロを初期アクセスのコードとして使用し、攻撃を実行してきた。
Proofpointによれば、2021年にはVBAマクロを使用した約700のキャンペーンと、ほぼ同じ数のXL4マクロを使用したキャンペーンが観察されている。しかし、Microsoftがこれらのマクロをブロックし始めた後、どちらのタイプの使用も3分の2に減少した。
2023年には、攻撃者が戦術を変え始めたためにこれらのマクロを使用した攻撃はほとんどの調査データに現れなくなった。
Proofpointのシニア脅威インテリジェンス・アナリストであるセレナ・ラーソン氏は「攻撃者は攻撃における一連の流れで、異なるさまざまなファイル形式を使用し、定期的にそれらを変更し始めた」と述べた。
ラーソン氏によると、HTMLスマグリングやPDFファイルに加えて、2023年初頭以降、研究者は埋め込まれたスクリプトを含むOneNoteファイルの使用の急増を観察しているという。
(注1)Crime Finds a Way: The Evolution and Experimentation of the Cybercrime Ecosystem(Proofpoint)
(注2)Threat actors shifting tactics as Microsoft blocks, unblocks and reblocks macros(Cybersecurity Dive)
関連記事
- Emotet vs. セキュリティ製品 各製品の検知可否を検証してみた
マクニカはEmotetの活動再開を受け、同社が取り扱っている製品でこれを検知できたかどうかを検証して結果を報告した。検証結果によると、一部の製品では、Emotetが用いる新たな攻撃手口に対応できず検知不可になることが分かった。 - Emotetが3カ月ぶりに活動再開 Officeマクロに要警戒
CofenseがEmotetの活動再開を伝えた。この3カ月間は休眠状態にあったが、2023年3月7日に活動の再開が観測された。請求書を模した悪意あるMicrosoft Officeファイルが使われており、注意が必要だ。予測稼働期間は現時点では不明だ。 - OneNoteが新たなマルウェア感染経路に 具体的な手口と対処法
Microsoft OneNoteを悪用したサイバー攻撃が発見された。VBAマクロに変わる新たなマルウェア感染の侵入経路としてサイバー攻撃者の間で悪用が進んでいるものとみられる。 - 「VSTO」がVBAマクロに代わる新たな攻撃ベクトルとして注目されるワケ
Microsoft OfficeのVBAマクロという攻撃手段を失ったサイバー攻撃者にとってVisual Studio Tools for Office(VSTO)が新しい攻撃ベクトルになる可能性が出てきた。この技術を悪用したベクトルはまだほとんどのセキュリティベンダーが検出できていない。
© Industry Dive. All rights reserved.