Excel への再攻撃を狙う APT:新たな手口は XLL Add-in 侵入ベクター

APT Hackers Turn to Malicious Excel Add-ins as Initial Intrusion Vector

2022/12/28 TheHackerNews — インターネットからダウンロードされた Office ファイルの Visual Basic for Applications (VBA) マクロについて、Microsoft がデフォルトでのブロックを決定したことで、多くの脅威者が、この数カ月で攻撃方法を変更するようになった。Cisco Talos によると、APT (Advanced Persistent Threat) や各種のマルウェア・ファミリーは、イニシャルの侵入経路として Excel Add-in (.XLL) ファイルを使用する傾向を強めているとのことだ。


スピアフィッシング・メールなどのソーシャル・エンジニアリング攻撃で配信される、武器化された Office ドキュメントは、悪意のコードを実行しようとする犯罪グループにとって、広く利用されている侵入経路の1つであることに変わりはない。これらの Office ドキュメントは、無害に見えるコンテンツの閲覧に際して、マクロを有効化するよう被害者を促し、バックグラウンドでのマルウェア実行を、ひそかに開始するのが通例となっている。

この悪用に対抗するため、2022年7月から Microsoft は、電子メールに添付された Office ファイルのマクロをブロックするという、大規模な変更を実施し、重要な攻撃経路を効果的に断ち切った。このブロックは、Access/Excel/PowerPoint/Visio/Word の新バージョンにのみ適用されるが、その一方では、脅威アクターたちもマルウェア展開の代替感染経路を実験している。

それらの代替え方法の1つに、XLL ファイルがあることが判明している。Microsoft の XLL ファイルに関する説明によると、Excel でのみ開くことができる DLL ファイルの一種となる。先週の、Cisco Talos の研究者 Vanja Svajcer の発表では、「XLL ファイルは電子メールで送られることがあり、通常のマルウェア対策スキャン対策を行っても、悪質なコードが含まれている可能性を知らないユーザーが、開いてしまうことがある」と解説されている。

サイバー・セキュリティ企業によると、この脅威アクターが使用しているのは、C++ で書かれたネイティブ・アドインと、Excel-DNA と呼ばれる無料ツールで開発されたアドインの組み合わせであり、この現象は 2021年半ばから 顕著になり、今年に至るまで続いているとのことだ。

初めて文書化された XLL の悪用は、2017年に中国由来の APT10 (別名Stone Panda) であるとされ、この技術を利用してプロセスを空洞化し、バックドア・ペイロードをメモリに注入していたと言われている。


その他のコモディティ・マルウェア・ファミリーである、TA410 (APT10 関与)/DoNot Team/FIN7/Agent Tesla/Arkei/Buer/Dridex/Ducktail/Ekipa RAT/FormBook/IcedID/Vidar Stealer/Warzone RAT なども、敵対者の集合体とされている。

以前にも Palo Alto Networks Unit 42 が、XLL ファイルを悪用した Agent Tesla と Dridex の配布を検知に、「脅威の状況に新しい傾向が見られるかもしれない」と指摘していた。

Cisco Talos の Vanja Svajcer は、「Microsoft Office の新バージョンを採用するユーザーが増えるにつれて、脅威アクターの注目も VBA ベースの不正文書から、XLL などの他のフォーマットに向き始めている。新たに発見された脆弱性を悪用して、Office アプリケーションのプロセス・スペースにおいて、不正なコードを起動する可能性がある」と述べている。

Microsoft Publisher の悪意のマクロが Ekipa RAT をプッシュ

Ekipa RAT は、XLL Excel アドインを組み込むものだが、2022年11月に更新を受けたことで、Microsoft Publisher マクロを利用して RAT (Remote Access Trojan) をドロップし、機密情報を盗み出せるようになった。

Trustwave は、「Excel や Word などの Microsoft オフィス製品と同様に、Publisher ファイルにもマクロが含まれ、操作時に実行されることがある。つまり、脅威アクターの視点から見ると、興味深い最初の攻撃ベクターとなっている」と指摘している。

インターネットからダウンロードしたファイルの、マクロを実行させないようにする Microsoft の制約は、Publisher ファイルには適用されないため、注目すべき潜在的な攻撃経路となる。

Trustwave の研究者である Wojciech Cieslak は、「Ekipa RAT は、防御側の先を行こうとする脅威アクターが、その手法を絶えず変化させていることを示す好例だ。このマルウェアの作成者は、Microsoft によるインターネット経由のマクロのブロックなど、セキュリティ業界の変化を追跡し、それに応じて戦術を変化させている」と述べている。

インターネットでやり取りされる Office ドキュメントを介した攻撃は、マクロの悪用から始まりましたが、脅威アクターたちは、次々と代替策を繰り出してきます。それに対応するための、Mark of the Web (MoTW) が登場しましたが、XLL ファイルという、Excel でのみ開くことができるファイルが悪用され、その防御策を回避する攻撃が発生する可能性が指摘されました。よろしければ、MoTW で検索を、ご利用ください。

%d bloggers like this: