Japan’s JPCERT Warns of New ‘Maldoc In Pdf’ Attack Technique
2023/08/29 SecurityAffairs — 先日に、日本の JPCERT/CC (computer emergency response team) が、悪意の Word ファイルを PDF ファイルに埋め込むことで検知を回避する、MalDoc in PDF と呼ばれる新たな攻撃手法を観測した。研究者たちは、MalDoc in PDF で作成されたファイルは、PDF の magic numbers and file 構造を持っているが、Wordで開くことができると説明している。このファイルに悪意のマクロが含まれていれば、ファイルを開くことで悪意のコードが実行される。JPCERT/CC が観測した攻撃では、脅威アクターはファイル拡張子 “.doc” を使用していたという。
JPCERT のレポートには、「 Windows の設定により、Word で .doc ファイルを開くように指定されている場合に、MalDoc により作成された PDF ファイルは、Word ファイルとして開かれる。攻撃者は、PDF ファイル・オブジェクトの後に、Word で作成され、マクロが添付された mht ファイルを追加して保存する。したがって、作成されたファイルは、ファイル署名では PDF ファイルとして認識されるが、Wordで開くことが可能になる」と記されている。
以下は、この攻撃テクニックを紹介するビデオである:
JPCERT の専門家によると、悪意の Word ファイル用の OLEVBA 分析ツールを使用することで、この攻撃手法を実行するために細工された、悪意のファイルを検出できるとのことだ。
JPCERT は、「この記事で説明されている手法は、Word マクロの自動実行を無効にする設定をバイパスするものではない。ファイルは PDF として認識されるため、何らかのツールやサンドボックスなどを用いて、自動マルウェア解析を行っている場合は、検出結果に注意する必要がある。確認されたマルウェアの C2 情報とハッシュ値については、Appendix を参照してほしい。MalDoc in PDF 攻撃で使用されたファイルを検出するための Yara ルールも、このレポートには含まれる」と締め括っている。
MalDoc in PDF と呼ばれる新たな攻撃手法が観測されたとのことですが、それを公表したのは JPCERT/CC です。MalDoc in PDF + JPCERT で検索すると、世界の多くのセキュリティ・メディアが、このトピックを大きく取り上げていることが分かります。なんとなく、誇らしいです。
IoT OT Security News 
You must be logged in to post a comment.