新しい攻撃経路: ISO、LNK、RAR & Co に隠された危険なマクロ

28。 8月2022
| コメントはありません
新しい攻撃経路: ISO、LNK、RAR & Co に隠された危険なマクロ

投稿を共有する

マルウェアを拡散するためのマクロの使用は大幅に減少しており、2021 年 2022 月から 66 年 XNUMX 月までの間に XNUMX% も減少しています。 ただし、攻撃者は、保護を回避するためにトリックを使用し始めています。

一般に、ユーザーが Office アプリケーションでマクロを有効にしている場合、サイバー犯罪者は VBA マクロを使用して悪意のあるコンテンツを自動的に実行します。 一方、XL4 マクロは Excel アプリケーションに固有のものですが、攻撃者がマルウェアを拡散するためのツールとして使用することもできます。 マクロベースの攻撃の背後にいる首謀者は通常、ソーシャル エンジニアリングを使用して、コンテンツが重要であるため、そのコンテンツを表示するにはマクロを有効にする必要があることを受信者に納得させます。

トリックとしての ISO、LNK、RAR などのコンテナ

「サイバー犯罪者がマクロベースの添付ファイルを電子メールで直接配布することをますます放棄しているという事実は、脅威の状況に大きな変化があることを示しています。代わりに、攻撃者は新しい戦術を使用してマルウェアを配布しています。 ISO、LNK、RAR などのファイル タイプの使用が増加し続けることが予想されます」と、Proofpoint の脅威調査および検出担当副社長である Sherrod DeGrippo 氏はコメントしています。

セキュリティ機能の回避

Microsoft は、Mark-of-the-Web (MOTW) 属性を持つ VBA マクロをブロックします。 この属性は、ファイルがインターネットから取得されたかどうかを示し、Zone.Identifier と呼ばれるものに基づいています。 Microsoft アプリケーションは、特定のドキュメントがインターネットからダウンロードされるときに、この属性を特定のドキュメントに追加します。

ただし、サイバー犯罪者は、ISO (.iso)、RAR (.rar)、ZIP (.zip)、IMG (.img) などのコンテナー ファイル形式を使用して、この MOTW ベースのセキュリティ機能を回避できます。 コンテナー ファイルはインターネットからダウンロードされるため、ダウンロードされると MOTW 属性のタグが付けられますが、マクロを有効にしたスプレッドシートなど、コンテナー ファイルに含まれるドキュメントには属性のタグが付けられません。 ドキュメントが抽出された場合、ユーザーは悪意のあるコードが自動的に実行されるようにマクロを有効にする必要がありますが、ファイル システムはドキュメントがインターネットからのものであると識別しません。

攻撃者がコンテナ ファイルを使用して、悪意のあるペイロードを直接拡散する可能性もあります。 この目的のために、コンテナー ファイルには、LNK、DLL、実行可能ファイル (.exe) などの追加のコンテンツを含めることができます。これらのコンテンツは、そのようなペイロードのインストールにつながります。

脅威の状況における大きな変化

これは、ISO 経由で Bumblebee マルウェアを配布する攻撃チェーンの様子です (画像: 証拠)。

Proofpoint の調査では、攻撃の一部として電子メールの添付ファイルとして送信されたマクロ有効ドキュメントが大幅に減少していることがわかりました。 2021 年 2022 月から 175 年 XNUMX 月の間に、その数は XNUMX 分の XNUMX 以上減少しました。 同じ期間に、コンテナ ファイルと Windows ショートカット (LNK) 添付ファイルを使用するキャンペーンの数は、XNUMX% 近く増加しました。

この増加は、一部には、サイバー キャンペーンでの ISO および LNK ファイルの使用の増加によるものです。 サイバー犯罪者は、Bumblebee マルウェア攻撃の背後にあるものなど、これらを初期アクセス メカニズムとしてますます使用しています。 ISO ファイルの使用だけでも、2021 年 2022 月から 150 年 2021 月の間に 1.675% 以上増加しました。 実際、LNK ファイルを含むキャンペーンの数は、XNUMX 年 XNUMX 月以降、XNUMX% も増加しています。

さらに詳しくは、proofpoint.com をご覧ください

 

プルーフポイントについて

Proofpoint, Inc. は、大手サイバーセキュリティ企業です。 Proofpoint の焦点は、従業員の保護です。 これらは企業にとって最大の資本であると同時に、最大のリスクでもあるからです。 Proofpoint は、クラウドベースのサイバーセキュリティ ソリューションの統合スイートにより、世界中の組織が標的型脅威を阻止し、データを保護し、サイバー攻撃のリスクについて企業の IT ユーザーを教育するのに役立ちます。

 

トピックに関連する記事

5G環境を保護するサイバーセキュリティプラットフォーム

サイバーセキュリティの専門家であるトレンドマイクロが、組織の拡大し続ける攻撃対象領域を保護するためのプラットフォームベースのアプローチを発表しました。 ➡続きを読む

データ操作、過小評価されている危険性

毎年 31 月 XNUMX 日の世界バックアップの日は、最新の簡単にアクセスできるバックアップの重要性を思い出させるものです。 ➡続きを読む

セキュリティリスクとしてのプリンター

企業のプリンター群はますます盲点になりつつあり、その効率性とセキュリティーに関して大きな問題を引き起こしています。 ➡続きを読む

AI 法とそのデータ保護への影響

AI 法により、AI に関する最初の法律が承認され、AI アプリケーションのメーカーに 6 か月から 6 か月の猶予期間が与えられました。 ➡続きを読む

Windows オペレーティング システム: 約 200 万台のコンピュータが危険にさらされています

Windows 7 および 8 オペレーティング システムのアップデートはもうありません。これは、セキュリティ上のギャップが開いていることを意味するため、価値があり、 ➡続きを読む

エンタープライズ ストレージ上の AI がランサムウェアとリアルタイムで戦う

NetApp は、ランサムウェアと戦うために人工知能 (AI) と機械学習 (ML) をプライマリ ストレージに直接統合した最初の企業の 1 つです ➡続きを読む

ゼロトラスト データ セキュリティのための DSPM 製品スイート

データ セキュリティ体制管理 (略して DSPM) は、企業が多数のデータに対するサイバー回復力を確保するために不可欠です。 ➡続きを読む

データ暗号化: クラウド プラットフォームのセキュリティを強化

最近では Trello など、オンライン プラットフォームがサイバー攻撃の標的になることがよくあります。クラウドでより効果的なデータ暗号化を実現する 5 つのヒント ➡続きを読む

広報メッセージ
, , , , , , ,