Hackers weaponize Microsoft Visual Studio add-ins to push malware
2023/02/03 BleepingComputer — Microsoft Visual Studio Tools for Office (VSTO) を悪用するハッカーたちが、ターゲット・マシン上で悪意の Office アドインを用いて、持続性を維持しながらコードを実行する攻撃へと移行するだろうと、セキュリティ研究者たちが警告している。このテクニックは、Office 文書に VBA マクロを忍び込ませ、外部ソースからマルウェアを取得させる手法に代わるものだ。Microsoft が Office の VBA/XL4 マクロの実行を、デフォルトでブロックすると発表した以降において、脅威アクターたちがマルウェアを配布する手法は、アーカイブ (.ZIP、.ISO)/ショートカット (.LNK) ファイルに移行している。
しかし、VSTO を悪用すれば、.NET ベースのマルウェアを構築し、Office アドインに埋め込むという攻撃ベクターが誕生する。Deep Instinct のセキュリティ研究者たちは、このような攻撃を最近に何度か観測しており、巧妙なハッカーにより採用されるケースが増えていると見ている。VSTO を使った攻撃は目新しいものではないが、発生頻度が低いために、情報セキュリティ業界ではあまり懸念されていなかった。
VSTO による攻撃
VSTO (Visual Studio Tools for Office) は、Visual Studio IDE の一部として提供されるソフトウェア開発キットである。それにより、マシン上でコードを実行する Office アプリ・エクステンションである、VSTO アドインの構築が可能となる。
これらのアドインは、ドキュメント・ファイルに同梱される場合もあれば、リモート・ロケーションからダウンロードされる場合もある。そして、関連する Office アプリケーション (Word/Excel など) でドキュメントが開かれるときに実行される。
脅威アクターたちが、ローカル VSTO のアプローチの使用を好むのは、アドイン・コードを実行する際に、信頼関連のセキュリティ・メカニズムを回避する必要がないからだ。しかし、Deep Instinct は、リモート VSTO アドインを用いた攻撃を発見した。
これらのペイロードを運ぶドキュメントには、Office アプリにアドインの場所とインストールの指示を与える、custom.xml パラメータが存在するという特徴が見られる。
通常の場合、アドイン・ペイロードの依存関係はは、ドキュメントと一緒に ISO コンテナ内に格納される。脅威アクターたちは、これらの悪意を隠しファイルとして設定し、そのファイルをターゲットが見逃して、アーカイブにはドキュメントだけが含まれていると思い込ませる。
こうしたドキュメントが開かれるとき、アドインのインストールを求めるプロンプトが表示される。攻撃者たちは、VBA マクロの実行を許可する “enable content” ポップアップと同様の手法で、被害者を騙して悪意のアドインを受け入れさせる。
Deep Instinct が発見した、スペインのユーザーを狙った攻撃では、アドインのペイロードはコンピュータ上で、エンコードされ圧縮された PowerShell スクリプトを実行していた。
また、リモートの VSTO ベースの、悪意のアドインを埋め込む別の例では、パスワードで保護された ZIP アーカイブがダウンロードされ、%AppDataLocal フォルダにドロップされるように、.DLL ペイロードが設定されていた。Deep Instinct の調査では、サーバがオフライン状態であったことで、最終的なペイロードは取得できなかったという。
攻撃者たちがマルウェアを配信/実行し、マシン上で永続性を実現するために、VSTO の悪用は効果的である。それを示すために、研究者たちは Meterpreter ペイロードを用いる、PoC (Proof-of-Concept) エクスプロイトを作成した。このペイロードは正確に検知されるよう設定されているが、その他の全てのコンポーネントは、Window Defender に検知されないように設定されているという。
Deep Instinct の研究者たちは、より多くの脅威アクターが、VSTO を攻撃に組み込むようになると予測している。国家に支援された脅威アクターや、技術力の高い脅威アクターは、有効なコード署名証明書を用いて Windows の信頼メカニズムをバイパスする可能性が高いため、この機会に飛びつくだろうと、研究者たちは考えている。
Office VBA マクロの悪用という、 一点突破の戦略を用いてきた脅威アクターたちですが、それがブロックされると、さまざまな手法へと侵害ベクターを広げています。2023/01/06 の 「Visual Studio Code Marketplace の侵害は容易:悪意のエクステンションの登録方法とは?」も、悪用されそうな弱点を詳述する記事となっています。よろしければ、以下の関連記事および MoTW で検索も、ご参照ください。
2023/01/23:Excel XLL add-in の制限は 2023年3月から
2023/01/21:OneNote ファイルで新たなマルウェア配布
IoT OT Security News 
You must be logged in to post a comment.