Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る

As Microsoft blocks Office macros, hackers find new attack vectors

2022/07/28 BleepingComputer — これまでのフィッシングでは、悪意の Office マクロを埋め込んだ添付ファイルでマルウェアを配布していたハッカーたちだが、Microsoft がデフォルトで Office マクロをブロックするようになってから戦術を変更し、ISO/RAR/LNK (Windows ショートカット) などの、新しいファイル・タイプへと添付ファイルを切り替えている。

VBA/XL4 マクロは、Microsoft Office アプリケーションで反復タスクを自動化するために作成された小さなプログラムであり、これを悪用する脅威アクターたちは、フィッシング・メールに添付した悪意の Officeドキュメントを介して、マルウェアをロード/ドロップ/インストールしてきた。

この、ハッカーたちの変化の理由は、Office マクロをデフォルトで自動的にブロックし、マクロを有効にすることを困難にし、Office システムの大規模な悪用に終止符を打つと、Microsoft が発表したことにある。

Microsoft は、今回の Office における変更を実施するのに、少し時間を費やすことになったが、ようやく先週に、ブロックが有効になった。しかし、この発表により、マルウェア・オペレーターたちは Office マクロから離れ、感染のための別の方法を試し始めることになった。

ハッカーは Office マクロを放棄

Proofpoint の最新レポートでは、2021年10月〜2022年6月の悪意のキャンペーンの統計情報を調査した研究者たちが、ペイロード配布の方式に関する明確なシフトを確認し、Office マクロの使用が 66% も減少したことを報告している。それと同時に、ISO/ZIP/RAR などのコンテナ・ファイルの使用は、約 175% も上昇している。

Comparison between macros and container files in campaigns (Proofpoint)

LNK ファイルの悪用は、Microsoft がマクロについて発表した 2022年2月以降に爆発的に増加し、2021年10月と比較して 1,675% というレベルに達した。これは、Proofpoint が追跡している脅威グループ 10 件の、選択する武器にもなっている。

Malicious LNK file use rose to unprecedented levels (Proofpoint)

Emotet/Qbot/IcedID による LNK ファイルの悪用も報告されているが、いずれの場合においても、Word 文書を装うことで受信者を騙し、開封させるというものだった。さらに、これらの LNK ファイルは、リモートソースからマルウェアをダウンロードして実行する、PowerShell スクリプトの実行を含め、ユーザーが使用する権限を持つ、ほぼ全てのコマンド実行に使用できるのだ。

Windows shortcut running PowerShell command to install Emotet
Source: BleepingComputer

Proofpoint は、ホストシステム上に悪意のファイルをドロップする、HTML スマグリング技術を用いた HTML 添付ファイルの使用が、大幅に増加していることも確認している。しかし、その配布量は依然として少量の状態にある。

脅威の変化

Office マクロが、ペイロードの配布や初期感染の手段として廃れつつあることは喜ばしいことだが、脅威が完全に対処されたわけではなく、減少したわけでもなく、単に変化したに過ぎない。なぜなら、受信者に .docx や .xls のファイルを開くように説得することは、アーカイブを解凍して .lnk で終わる名前のファイルを、開くよう説得するよりも、ずっと簡単だったからである。

ただし、セキュリティ・ソフトウェアによる検出を回避するため、多くのフィッシング・キャンペーンでは、アーカイブの添付ファイルをパスワードで保護することになる。したがって、不正なファイルにターゲットがアクセスするために必要な、別のステップが追加されることになる。このような観点から、フィッシング・メールに依存する脅威アクターは、有効な手段を失いつつあり、その結果として、感染率が低下する可能性がある。

結論として、メール・セキュリティ・ソリューションは、評価すべき潜在的なリスクの範囲を絞り込めるようになり、危険なファイルを捕捉できる可能性が高くなるだろう。

7月21日の「Microsoft の Office マクロ問題:無効化 → 有効化 → 再無効化という紆余曲折」でお伝えしたように、いろいろと有りましたが、ブロックの方向で確定のようです。ただ、ハッカーたちの動きを見ると、いずれはブロックされるだろうという前提で、ISO/ZIP/RAR などのコンテナ・ファイルの悪用へと、だいぶ前から舵を切っている様子が見て取れます。また、LNK ファイルの悪用も、警戒すべき攻撃ベクターになりそうです。脅威アクターたちの費用対効果を下げていく、継続した取り組みが必要なのですね。

%d bloggers like this: