Microsoft Officeを悪用してマルウェアを感染させるサイバー攻撃に注意
マイナビニュース2024年3月22日(金)8時50分
Perception Pointは3月18日(現地時間)、「Operation PhantomBlu: New and Evasive Method Delivers NetSupport RAT - Perception Point」において、米国の組織を標的としたマルウェアを配布するサイバー攻撃のキャンペーン「PhantomBlu」を発見したと伝えた。このキャンペーンでは新しい戦術、技術、手順(TTPs)により、マルウェア「NetSupport RAT」が展開されているという。
○マルウェア配布キャンペーン「PhantomBlu」
「PhantomBlu」では、初期アクセスにソーシャルエンジニアリング攻撃が行われる。攻撃者は標的に悪意のあるメールを送信し、添付されているMicrosoft Office Word(.docx)ファイルを開くように誘導。さらに、ドキュメントに設定されているパスワードの入力と編集の有効化を求める。
次に、攻撃者はドキュメントに埋め込まれているプリンタの画像を偽装したOLE(Object Linking and Embedding)パッケージのクリックを求める。被害者がOLEパッケージ(プリンタ画像)をクリックするとZIPファイルを開くように要求され、開くとショートカットファイルを展開することになる。
ショートカットファイルを実行すると、リモートから悪意のあるPowerShellスクリプトがダウンロードされて実行される。PowerShellスクリプトはリモートから追加のZIPファイルをダウンロードし、マルウェア「NetSupport RAT」を抽出して実行する。
○マルウェア「NetSupport RAT」
NetSupport RATは、リモートからテクニカルサポートを実施するために開発された正規の「NetSupport Manager」を改造したマルウェアとされる。主な機能には動作の監視、キーロガー、ファイルの転送、システムリソースの占有、ネットワーク内の横移動などがあるとされる。
○対策
このキャンペーンではセキュリティソリューションの検出を回避するためにドキュメントファイルやZIPアーカイブを悪用している。Perception Pointは「この高度な技術は悪意のあるペイロードをドキュメントの外に隠し、ユーザーとの対話時のみ実行させることで従来のセキュリティソリューションを回避する」と述べている。
このような高度な攻撃を回避するため、ユーザーにはメールの添付ファイルに注意することが推奨されている。特に、安全性が確認されていないドキュメントファイルを開く際は保護ビューを有効にし、編集およびマクロを有効にしないことが推奨されている。
Perception Pointはこの調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
○マルウェア配布キャンペーン「PhantomBlu」
「PhantomBlu」では、初期アクセスにソーシャルエンジニアリング攻撃が行われる。攻撃者は標的に悪意のあるメールを送信し、添付されているMicrosoft Office Word(.docx)ファイルを開くように誘導。さらに、ドキュメントに設定されているパスワードの入力と編集の有効化を求める。
次に、攻撃者はドキュメントに埋め込まれているプリンタの画像を偽装したOLE(Object Linking and Embedding)パッケージのクリックを求める。被害者がOLEパッケージ(プリンタ画像)をクリックするとZIPファイルを開くように要求され、開くとショートカットファイルを展開することになる。
ショートカットファイルを実行すると、リモートから悪意のあるPowerShellスクリプトがダウンロードされて実行される。PowerShellスクリプトはリモートから追加のZIPファイルをダウンロードし、マルウェア「NetSupport RAT」を抽出して実行する。
○マルウェア「NetSupport RAT」
NetSupport RATは、リモートからテクニカルサポートを実施するために開発された正規の「NetSupport Manager」を改造したマルウェアとされる。主な機能には動作の監視、キーロガー、ファイルの転送、システムリソースの占有、ネットワーク内の横移動などがあるとされる。
○対策
このキャンペーンではセキュリティソリューションの検出を回避するためにドキュメントファイルやZIPアーカイブを悪用している。Perception Pointは「この高度な技術は悪意のあるペイロードをドキュメントの外に隠し、ユーザーとの対話時のみ実行させることで従来のセキュリティソリューションを回避する」と述べている。
このような高度な攻撃を回避するため、ユーザーにはメールの添付ファイルに注意することが推奨されている。特に、安全性が確認されていないドキュメントファイルを開く際は保護ビューを有効にし、編集およびマクロを有効にしないことが推奨されている。
Perception Pointはこの調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
「マルウェア」をもっと詳しく
「マルウェア」のニュース
-
Kaspersky、2023年にデバイスが感染した最多の情報窃取型マルウェアは「Redline」と報告4月25日15時46分
-
【セキュリティレポート】過去3年間の国内セキュリティインシデントを集計2023年のインシデント総数は916件 マルウェア感染を除くすべての項目でインシデントが増加4月22日10時0分
-
Android狙うバンキング型トロイの木馬「SoumniBot」発見、型破りな分析妨害4月22日7時48分
-
Kaspersky、情報窃取型マルウェアによる感染デバイス数を調査、3年間で約7.4倍に4月18日16時46分
-
ウィズセキュア、ロシアの国家ハッカーグループ『Sandworm』と関連する新たなマルウェア『Kapeka』を発見4月18日11時16分
-
新種のバックドアマルウェア「Kapeka」 - 露のサイバー攻撃グループが関与か4月18日10時22分
-
マルウェアのダウンロードに最も悪用されたアプリはOneDrive、Netskope調査4月17日7時28分
-
GitHubから悪意あるVisual Studioプロジェクト配布、注意を4月12日8時46分
-
GoogleでPuTTYやFileZillaを検索する際は注意、マルウェア感染の恐れ4月12日8時18分
-
チェック・ポイント・リサーチ、国内企業も狙うマルウェア「Agent Tesla」の攻撃者の正体を暴く4月9日15時46分