Excel経由でのマルウェア感染に要注意 Fortinetが新たな手口を公開:セキュリティニュースアラート
FortinetはExcelファイルを通じて情報窃取型マルウェアを配布する新たな手口を発表した。この攻撃はExcelファイル内のVBAマクロから始まり、最終的にWebブラウザのデータまでを窃取する。
Fortinetは2024年2月5日(現地時間)、「Microsoft Excel」(以下、Excel)ファイルを使って情報窃取型マルウェアを配布する新たな手口を公開した。このサイバー攻撃は2023年8〜9月に報告されたベトナムを拠点とする脅威グループとの関連が指摘されている。
VBAマクロを悪用したマルウェア配布戦略 その詳細な手口は?
この攻撃の第1段階はVBAマクロを含むExcelファイルから始まる。VBAマクロから「PowerShell」が実行され、「Windows Update.bat」と呼ばれるバッチファイルが「filebin.net」からダウンロードされる。
Windows Update.batは難読化されており、その内容についてはPowerShellを実行して「test.vbs」という「VBScript」ファイルを「gitlab.com」からダウンロードするものだ。test.vbsは2023年8月に観測された攻撃キャンペーンの中間段階で使われるスクリプトとほぼ同じであり、「script.py」「Document.zip」「bypass.vbs」という3つのファイルをgitlab.comからダウンロードする。レジストリーキー「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run」に「WinUpdater」という名前の値を作成し、ユーザーがログインしたときにbypass.vbsを自動実行する処理が書かれている。
script.pyはソースコード難読化ツール「PyObfuscate」によって難読化されているため、実行するには追加のモジュールが必要になる。Document.zipにはそのためのモジュールが含まれている。
2023年8月に観測されたscript.pyと異なり、今回のケースではscript.pyはWebブラウザのCookieやログインデータのみを窃取する。対象となるWebブラウザは「Google Chrome」や「Microsoft Edge」といったメジャーなものからローカル市場に焦点を当てたマイナーなものまで幅広く存在する。
収集されたデータはZIPファイルとして圧縮され、日付や被害者の国、IPアドレス、言語、パスワード数、Cookie数を含むメッセージとともに攻撃者のTelegram botへと送信される。この他、調査の過程で「Microsoft Word」ファイルを使って似たような手口でマルウェアへの感染を狙う攻撃キャンペーンも確認されている。
Fortinetの今回の分析によって脅威アクターがマルウェアキャンペーンを幾つかの単純なダウンローダーに分割し、オープンプラットフォームを使ってダウンロードを実施していることが明らかになった。オープンプラットフォームを使うことで検出を回避する狙いがあるものとみられている。
関連記事
- 「セキュリティ人材が足りない……」と嘆く前に 企業に必要なのは“懐の深さ”だ
セキュリティ人材の不足が世の中で叫ばれていますが、人材不足を嘆く前に自社が従業員の才能を伸ばせる環境かどうかを再考してみるといいかもしれません。 - Cloudflareで不正アクセスが発生 2023年9月のOktaへの侵害がきっかけか
Cloudflareは2023年11月に検出した脅威アクターに関する調査結果を報告した。脅威アクターは2023年9月に発生したOktaへの侵害で窃取されたアクセストークンとサービスアカウントの認証情報を使用してサーバに不正アクセスした。 - いざサイバーレジリエンスを実践 これだけはやっておきたい3つの対策
サイバーレジリエンスを詳細に解説してきた本連載。最終回はこれを高める14の手法のうち、これだけはやっておきたい3つの対策を紹介します。 - 住友化学はいかにして工場とオフィスのサイバーレジリエンスを強化しているか?
セキュリティインシデントにつながる異変に気付き、報告できる人を育てるにはどうすればいいのか。工場とオフィスでサイバーレジリエンスの強化を実践している企業が内情を語った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.