Tag: VBA Office Macro

ScarCruft という北朝鮮の APT:感染チェーンに大容量 LNK ファイルを使用 – Check Point

North Korea-linked ScarCruft APT uses large LNK files in infection chains

2023/05/02 SecurityAffairs — 北朝鮮に関連する ScarCruft APT グループ (別名:APT37/Reaper/Group123) による、2022年以降の攻撃に関するレポートが、Check Point の研究者たちにより公開され。このレポートによると、観測された感染チェーンでは、マルウェアの配信手段が、悪意のドキュメントから、悪意のペイロードを埋め込んだ大容量の LNK ファイルに変わったとのことだ。

Continue reading “ScarCruft という北朝鮮の APT:感染チェーンに大容量 LNK ファイルを使用 – Check Point”

Microsoft の MoTW ゼロデイ脆弱性:VBA Macro ブロックに関連する重要機能

Microsoft Patches MotW Zero-Day Exploited for Malware Delivery

2022/11/09 SecurityWeek — Microsoft の最新 Patch Tuesday では、サイバー犯罪者がマルウェアを送り込むために悪用している、Mark-of-The-Web (MoTW) セキュリティ機能の欠陥などを含む、6つのゼロデイ脆弱性が対処された。Windows では、ブラウザからのダウンロード・ファイルや電子メールの添付ファイルといった、信頼できない場所から送られてくるファイルに、MoTW フラグが追加される。そして、MoTW が設定されたファイルを開こうとすると、潜在的なリスクについて警告が表示され、それが Office ファイルの場合には、悪質なコードの実行を防ぐために VBA マクロがブロックされる。

Continue reading “Microsoft の MoTW ゼロデイ脆弱性:VBA Macro ブロックに関連する重要機能”

Windows の MoTW ゼロデイ脆弱性:Magniber ランサムウェアを 0Patch が阻止する?

Actively exploited Windows MoTW zero-day gets unofficial patch

2022/10/30 BleepingComputer — Windows 10/11 の積極的に悪用されているゼロデイに対して、無料の非公式パッチがリリースされた。この脆弱性は、不正に署名されたファイルが、Mark-of-the-Web セキュリティ警告を回避するというものだ。先週末に BleepingComputer は、スタンドアロンの JavaScript ファイルを悪用する脅威アクターが、被害者のデバイスに Magniber ランサムウェアをインストールしていることを報告した。

Continue reading “Windows の MoTW ゼロデイ脆弱性:Magniber ランサムウェアを 0Patch が阻止する?”

Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る

As Microsoft blocks Office macros, hackers find new attack vectors

2022/07/28 BleepingComputer — これまでのフィッシングでは、悪意の Office マクロを埋め込んだ添付ファイルでマルウェアを配布していたハッカーたちだが、Microsoft がデフォルトで Office マクロをブロックするようになってから戦術を変更し、ISO/RAR/LNK (Windows ショートカット) などの、新しいファイル・タイプへと添付ファイルを切り替えている。

Continue reading “Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る”

Windows の脆弱性 Follina CVE-2022-30190 を悪用する Rozena バックドアに注意!

Hackers Exploiting Follina Bug to Deploy Rozena Backdoor

2022/07/09 TheHackerNews — 新たに観測されたフィッシング・キャンペーンは、先日に公開された脆弱性 Follina (CVE-2022-30190) を悪用し、これまで文書化されていなかったバックドアを、Windows システム上に配布するものだった。今週に発表したレポートで、Fortinet FortiGuard Labs の 研究者である Cara Lin は、「Rozena は、攻撃者のマシンに戻ってリモートシェル接続を注入することが可能なバックドア・マルウェアだ」と述べている。

Continue reading “Windows の脆弱性 Follina CVE-2022-30190 を悪用する Rozena バックドアに注意!”

Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ

Qbot malware switches to new Windows Installer infection vector

2022/04/11 BleepingComputer — 現在 Qbot ボットネットは、パスワード保護された ZIP アーカイブを添付したフィッシング・メールを介して、マルウェアのペイロードを送信しているが、その中に悪意の MSI Windows Installer パッケージも含まれる。これまでの Qbot オペレーターたちは、悪意のマクロを含む Microsoft Office ドキュメントを、フィッシング・メールにより配信し、標的デバイスにマルウェアをドロップするという手法を用いていたが、新しい戦術が使われたことになる。

Continue reading “Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ”