Barracuda Networks Reports Shift in HTML Malware Tactics
2023/05/05 SecurityBoulevard — Barracuda Networks が発表したレポートによると、HTML ファイル内にマルウェアを埋め込むバー犯罪者が、外部サイトへのリンクを介して悪意のペイロードを配信するケースが増えているようだ。このようなアプローチの変化により、一部のセキュリティ・スキャナでは、メールに埋め込まれたマルウェアを検出することが難しくなっている。
Barracuda Networks の CTO である Fleming Shi によると、この攻撃手法は、外部にホストされた JavaScript ファイルに依存するものと比べて、より広範囲で使用されるようになったとのことだ。一般的に、この種の攻撃に騙されるユーザーは、認証情報の入力による情報への不正アクセスや、マルウェアが仕込まれたファイルのダウンロードといった被害に遭うことになる。
Web ページへのリンクが埋め込まれた電子メールを、正規のものに見せかける攻撃ベクターとして、サイバー犯罪者は HTML を悪用する。2022年3月に Barracuda Networks がスキャンした HTML ファイルの 46% が、悪意のあるものだったことが判明している。
Shi の解説によると、より多くのサイバー犯罪者が、この新しいマルウェア配布手法を取り入れるにつれて、HTML 攻撃の性質が進化しているとのことだ。たとえば、2023年3月7日に検出されたのは、181,176個の異なるアイテムで構成される、合計で 672,145 件の悪意の HTML アーティファクトである。
そこから導き出されるのは、検出されたファイルの 27% がユニークなものであり、残りのものは、それらのファイルを繰り返して展開するものだったという現実である。しかし、3月23日には、475,938件の悪意の HTML アーティファクトのうち、85% がユニークなものとなっている。つまり、大半の攻撃で、異なるアーティファクトが用いられているのだ。
HTML を悪用するサイバー犯罪者は、エンド・ユーザーが既に信頼しているプロセスに侵入できるため、依然として好んで用いられる攻撃手段である。歴史的に見ると、トラフィックをリダイレクトすることが目的だったが、現在では、ダイレクトにマルウェアを埋め込むという攻撃も行われているという。
より高度な攻撃ベクトルが発見されたとはいえ、サイバー犯罪者が仕掛ける攻撃の大部分は、既知のテクニックや戦術を、より複雑に変化させたものである。しかし、この種の攻撃は、依然として有効である。したがって、複雑が問題となって普及していない、攻撃に対する防御を検討する前に、この種の攻撃を阻止することに集中するのが得策だろう。
HTMLファイルに埋め込まれたマルウェアを使った攻撃が、どのように実行されているのかは不明だが、ほとんどのサイバー・セキュリティ・チームは、自身が管理する環境内に、すでにマルウェアが存在していると考えるべきだろう。したがって、いつものように、マルウェアがアクティブになる前に見つけて無力化する必要がある。
その一方で、マルウェアを阻止する最善の方法は、IT 環境に侵入するマルウェアの量を減らすことだ。 スキャン・ツールに加えて、疑わしいメールを適切に認識し、不注意でクリックした可能性がある場合の報告を、エンド ユーザーに教えることが、組織にとって重要となる。
間違いを犯したことでエンド・ユーザーを罰するのではなく、組織として透明性を促進する必要がある。 結局、電子メール内に存在しても報告されない、悪意のあるペイロードは、誤ってクリックしたエンド・ユーザーが、報告したものと比べて、はるかに見つけ難いものになる。 ミスを犯したエンド・ユーザーを罰してしまうと、最終的には、検出を回避しようとするサイバー犯罪者に利益をもたらすことになる。
この記事のベースとなっている、Barracuda のレポート Threat Spotlight: Proportion of malicious HTML attachments doubles within a year では、さまざまな統計値もグラフで提供されていて、この種の脅威が、年々高まっている状況が把握できるようになっています。文中にある、「ほとんどのサイバー・セキュリティ・チームは、自身が管理する環境内に、すでにマルウェアが存在していると考えるべきだろう」という指摘について、真剣に考えるべきなのでしょう。
IoT OT Security News 
You must be logged in to post a comment.