LokiBot Malware Targets Windows Users in Office Document Attacks
2023/07/14 InfoSecurity — 悪意の Office 文書を介して拡散する、LokiBot と呼ばれる巧妙なマルウェアに、Windows ユーザーたちが再び狙われている。Fortinet の Security Researcher である Cara Lin の最新アドバイザリによると、攻撃者たちは既知の脆弱性 CVE-2021-40444/CVE-2022-30190 などを悪用することで、Microsoft Office 文書内に悪意のマクロを埋め込んでいるという。これらのマクロが実行されると、被害者のシステム上に LokiBot マルウェアがドロップされ、機密情報の収集などが行われる。
LokiBot とは、2015年から活動している悪名高いトロイの木馬であり、感染させた Windowsシステムから機密情報を盗むことに特化している。
FortiGuard Labs は、特定された悪意のドキュメントの詳細な分析を行い、それらが配信するペイロードを調査し、LokiBot が示す行動パターンを明らかにした。この調査の結果として、それらの Office ドキュメントでは、外部リンクや VBA スクリプトといった、攻撃チェーンを開始するための各種の手法を採用していることが明らかになった。
LokiBot マルウェアが展開されると、検知を回避するために技術が用いられ、侵害したシステムから機密データを収集するために、一連の悪意のある活動が実行されるという。
Viakoo の VP of Viakoo Labs である Viakoo Labs である John Gallagher は、「この新しい攻撃では、LokiBot の新しいパッケージングが用いられている。具体的に言うと、簡単に検出されない可能性を高めるために、痕跡を隠し、プロセスを難読化している。そして、重要な個人データやビジネ・スデータが流出させようとしている」と述べている。
この脅威から身を守るために、ユーザーに対して勧告されているのは、Office 文書や未知のファイルを、特に外部リンクを含むファイルを扱う際に、注意を払うべきだという点だ。
Viakoo は、「幸いなことに、この問題の解決と回避策に Microsoft は取り組んでいるため、エンドポイント・プロテクション製品を常に最新の状態に保つことが不可欠である。また、添付ファイルが誰かの受信トレイに届く前に、能動的にスキャンできる電子メールフィルタリング・ソリューションも機能する」と指摘している。
先日には Barracuda Networks が、100人未満の比較的小規模な詐欺師グループが。世界的な電子メール恐喝の原因であることを示唆する、レポートを発表している。その数日後に、今回の Fortinet アドバイザリは発表されている。
LokiBot が狙っている脆弱性 CVE-2021-40444 ですが、2022/08/16 の「2022年 Q2 のサイバー攻撃を分析:Microsoft の古い脆弱性が最も多く狙われた」に登場しています。また、LokiBot のほうは、2023/02/14 の「QBot/Lokibot/AgentTesla が Top-3 という調査結果:2023年1月のマルウェア・レポート」だけに登場しています。よろしければ、CVE-2021-40444 で検索と、CVE-2022-30190 で検索も、ご利用ください。いくつかの、関連記事が参照可能となっています。
IoT OT Security News 
You must be logged in to post a comment.