APT グループによる RTF インジェクションは新たなフィッシング手法になるのか?

APT Groups Adopt New Phishing Method. Will Cybercriminals Follow?

2021/12/02 DarkReading — ロシア/中国/インドの APT グループは、今年の Q2〜Q3 において、簡単に実装できる新たなフィッシング手法を採用しており、サイバー犯罪者の間でも広く採用される可能性があると、研究者たちは述べている。Proofpoint の調査チームは、2021年2月〜4月において APT グループの間で、いわゆる RTF (rich text format) テンプレート・インジェクション手法の採用が拡大していることを確認している。

この手法は必ずしも新しいものではなく、他のセキュリティ研究者も1月に発見していたが、今回の調査結果は、この攻撃手法が再び急増していることを示している。

RTF テンプレート・インジェクションとは、おとりのコンテンツを取り込んだ RTF ファイルを開くと、外部の URL でホストされているコンテンツを取得するための技術である。攻撃者は、RTF ファイルの文書フォーマットのプロパティを変更することで、アクセス可能なファイルの保存先ではなく、URL リソースを指定することで、リモートコンテンツにアクセスする武器にできる、と研究者たちはブログに記している

これまでにも、RTF を利用してマルウェアを配信する方法として、悪意の RTF オブジェクトを埋め込んで使用する方法は認識されていると、研究者たちは指摘している。今回の手法は、以前に文書化された手法と比較して、より単純で、ある意味ではリモートでペイロードを配信するのに効果的である。

Proofpoint の VP of Threat Research & Detection である Sherrod DeGrippo は、「RTF は、本質的に非常に柔軟性の高いファイルタイプであり、そのファイル・アーキテクチャには、リモート・ペイロードを取得するための悪意の URL やファイルを格納できる、多くのオブジェクトや宛先フィールドが含まれている」と述べている。

さらに、RTF ファイルは、文書編集者たちの間でファイルのフォーマットを維持するために、ファイル内に平文の文字列としてプロパティを保存しているそうだ。DeGrippo は、「つまり、ファイルを武器化するには、ドキュメント・エディターでルアー・ファイルを作成し、16進数エディターを開いて、ファイルの特定のバイトを悪意の URL の宛先を表すバイトに置き換えるだけでよい」と述べている。

研究者たちは、RTF ファイルのバイトを変更して、URL リソースを含むテンプレート制御ワードの宛先を挿入することは、きわめて簡単なことだと述べている。それにより、RTF ファイルは、RTF の構造が意図するように、URL リソースを宛先として取得できる。この方法は、.rtf および .doc.rtf ファイル対して用いることが可能であり、リモートのペイロード取得を成功に導ける。

Proofpoint が分析した RTF テンプレート・インジェクション・ファイルのサンプルは、よく知られている Office ベースの手法と比較して、一般的なアンチ・ウイルス・エンジンでの検出率が低いと DeGrippo は指摘している。これらの攻撃の被害者が、フィッシングの添付ファイルを開くと、通常の Word/RTF ファイルでは見られない、「サーバーに情報を連絡する」というメッセージが一瞬表示される。

APT グループの新しいトレンド

DeGrippo によると、APT グループの間で3種類の手口が用いられていうることを確認しているが、これらの手口を使用する3つのグループは、同じようにコア機能を悪用しているとのことだ。インド由来が疑われる APT グループの DoNot チームによるテンプレート・インジェクション RTF ファイルは、2021年7月8日以前に発見されている。TA423 と呼ばれる、中国の APT 攻撃者に関連すると思われる RTF ファイルは 9月29日以前に発見され、マレーシアの深海エネルギー探査組織を標的にしていたと、研究者たちは指摘している。

その後、ロシア連邦保安局 (FSB) に関連する APT グループ Gamaredon が、ウクライナ政府のファイル・ルアーを利用した 2021年10月5日の攻撃で、RTF テンプレート・インジェクション・ファイルを使用しているのを確認したという。この手法は、比較的簡単で、ステルス性が高いため、APT グループに重宝されている。

DeGrippo は、「APT アクターたちは、”高度な “という呼称にもかかわらず、標的となる組織へのアクセスに必要な、最小限のリソースと洗練された技術を駆使する。それにより、攻撃者が捕まっても、高度なツールが公開されず、被害者の混乱は収束しない。RTF テンプレート・インジェクションの利点は、その容易な武器化と、多くの組織がデフォルトで RTF ファイルをブロックしていない点にある。つまり、RTF ファイルは典型的な業務の一部なのだ」と付け加えている。

Proofpoint は、この手法がクライムウェアの攻撃者により、限定的に使用されてきたと考えている。しかし、武器化が容易であることから、洗練されていない攻撃者を惹きつけ、この技術のインスタンスがワイルドに使用されるだろうと指摘している。DeGrippo によると、攻撃者が継続的な活動の中で成功を収めるための手段として、RTF テンプレート・インジェクションを既存のフィッシング・ツールキットに取り入れる可能性もあるという。

フィッシングへの対策

Forrester のアナリストたちは、新しいレポートの中で、成功したフィッシング攻撃の特徴を詳細に説明し、防御戦略の強化を求める企業へのアドバイスを述べている。このレポート Best Practices: Phishing Prevention には、「訓練を受けたサイバー・セキュリティの専門家でも、巧妙に作られたフィッシング・メールの被害に遭うことがある。そのため、ユーザーが自分を狙った攻撃を、すべて認識できないのも当然だ」と述べている。

ユーザーを保護するためには、電子メールのコンテンツ・フィルタリングや電子メール認証などの、技術的な制御を導入すべきだと、彼らは述べている。また、不審な電子メールを認識する方法だけではなく、発見した後の対処法も教育するために、継続的なセキュリティ意識向上のための、トレーニングを実施することも推奨している。また、従業員を定期的にテストし、その成果を測定することも効果的だという。

それにしても、人間の技術的な失敗を想定しておくことは賢明なことだ。ブラウザ隔離技術/多要素認証/定期的なインシデント対応計画の見直しなどにより、攻撃の影響を抑えることが可能となる。

RTF を検索すると、Rich Text Format の略であり、Microsoft が考え出したものであることが分かります。いまでも、MS Word などではサポートされている RTF ですが、それを悪用する APT グループが増えているようですね。Office ファイルには気をつけても、RTF は見逃してしまうケースも多々あるようです。最近のフィッシング関連のポストとしては、昨日の「Emotet が偽の Adobe インストーラーを介して広まり始めている」や、11月26日の「IKEA のシステムがリプライチェーン・メール攻撃の渦中にある」などが興味深いです。よろしければ、合わせて ど〜ぞ。

%d bloggers like this: