マイクロソフトはついにマクロをブロックしましたが、犯罪者は新しい攻撃ベクトルを発見しました

サイバー犯罪者は、Microsoft Office のマクロ機能である攻撃ベクトルを長い間悪用してきました。ユーザーが Excel または Word を使用して手順を自動化するのを支援する目的で、マクロは最初に Microsoft によって導入されました。しかし、その便利さは、ハッカーによってさえ主張されなかったペナルティなしではもたらされませんでした.

以前のマクロは、カスタマイズされたスクリプトをバックグラウンドで実行できるようにすることで機能していました。したがって、侵害されたシステムでマクロが有効になっていると、攻撃者は悪意のあるスクリプトを実行してマルウェアを運ぶ可能性があります。

ハッカーは、攻撃対象の個人がマクロで悪意のあるスクリプトを実行できるようにするために、さまざまなソーシャル エンジニアリング手法を利用する可能性があります。 Emotet、TrickBot、Qakbot、Dridex など、多数のマルウェア ファミリがあり、この攻撃ベクトルを悪用しています。

2022 年 2 月、Microsoft はマクロがデフォルトでブロックされることを発表し、これは 2022 年 4 月に適用されます。

ここで行ったように、マクロのユーザー エクスペリエンスを引き続き調整し、ソーシャル エンジニアリングを介してユーザーをだまして悪意のあるコードを実行させることをより困難にする一方で、信頼できる発行元および信頼できる発行元を介して適切な場所で有効なマクロを有効にするためのパスを維持します。 /または信頼できる場所」

Microsoft はこれらの変更を適用する 4 月の期限を逃しましたが、2022 年 7 月 21 日に変更を適用しました。

マイクロソフトは以前に変更を実施しましたが、ユーザーからの重大な否定的なフィードバックを得た後、マクロのブロックを中止し、2022 年 7 月末にのみ適用されました。

Microsoft が発表するとすぐに、マクロの悪用が減少し、ハッカーが他の攻撃ベクトルを試していることに、セキュリティ研究者は気づき始めました。

マクロからのバックオフ

Proofpoint は、2021 年 10 月から 2022 年 6 月にかけて悪意のあるキャンペーンがトリガーされたと報告しており、マクロが攻撃ベクトルとして使用されて以来、66% の減少が認識されています。

同時期に、ISO、ZIP、RAR などのコンテナ ファイルの使用が徐々に増加し、ほぼ 175% 増加しました。

Microsoft が 2 月にマクロをブロックすると発表したとき、悪意のある LNK ファイルの使用はなくなったことに注意してください。 2021 年 10 月と比較して、LNK ファイルのエクスプロイトは 1,675% も大幅に増加しました。

Proofpont が追跡した 10 の個々のハッカー グループがそれを悪用したと考えられていました。傾向が増加していることに気付いた Proofpoint とは別に、マカフィーは、LNK ファイルの悪用の増加を特定するブログ記事も公開しました。

Windows ショートカットである LNK ファイルは、ファイル、フォルダー、またはアプリケーションを開くためのポインターとして機能します。マカフィーの研究者は、次のようなより包括的な定義を提供しました。

「LNK ファイルは、別のデータ オブジェクトへのアクセスに使用される情報を保持する Shell Link バイナリ ファイル形式に基づいています。これらのファイルは、標準の右クリック作成ショートカット オプションを使用して手動で作成することも、アプリケーションの実行中に自動的に作成されることもあります。 LNK ファイルを作成するためのツールも多数あり、悪意のある目的に特化した「lnkbombs」ツールを作成した人もたくさんいます。」

また、QakBot、Emotet、および BazarLoader を拡散するサイバー犯罪者が、LNK ファイルを使用してマルウェア ペイロードを拡散していると見られたことも言及されました。 LNK ファイルを被害者に配信するために、悪意のある個人が電子メール スパムと悪意のある URL を使用していることが確認されました。

これらのファイルは、CMD、PowerShell、MSHTA などの正規のアプリケーションに悪意のあるファイルをダウンロードするよう命令する傾向があります。

たとえば、Emotet は LNK ファイルを使用して、Windows コマンド プロセッサ経由で VBS スクリプトを実行します。その後、これを使用してメインの Emotet ペイロードを取得します。

McAffee は、ボットが Emotet に対して同様の実行を行ったことで、さらに 2 つのファミリの攻撃チェーンを終了させました。マカフィーの研究者は、次のように結論付けています。

「上記の 3 つの脅威キャンペーンで見たように、攻撃者が Windows ショートカットの LNK ファイルを悪用し、一般ユーザーにとって非常に危険なものにしたことがわかっています。 LNK を PowerShell、CMD、MSHTA などと組み合わせると、被害者のマシンに深刻なダメージを与える可能性があります。悪意のある LNK は通常、PowerShell と CMD を使用して、悪意のある URL に接続し、悪意のあるペイロードをダウンロードできるようになっていると見られています。この種の攻撃はまだ進化しているため、すべてのユーザーは LNK ショートカット ファイルを使用する際に徹底的なチェックを行う必要があります。消費者は、オペレーティング システムとアンチウイルスを最新の状態に保つ必要があります。フィッシングメールや、悪意のあるリンクや添付ファイルのクリックに注意する必要があります。」

LNK ファイルや、ISO、ZIP、RAR などの他のファイル タイプの使用は、ユーザーにとって注目に値する脅威となりますが、これらの方法を利用するには、銀色の裏地があります。

LNK ファイルはアーカイブから解凍して開く必要があるため、スパム メールの受信者に LNK ファイルを開くよう説得することは、Word や Excel ファイルの場合よりもはるかに困難です。

この追加の手順は間違いなく疑問を投げかけます。企業は、Microsoft Office ファイルなどのよく使用されるファイルの種類と比較して、従業員にこれらのファイルを開かないように簡単に指示できます。