サイバー犯罪者による新たな詐欺

19. 2023。 Februar XNUMX 2月XNUMX
| コメントはありません
サイバー犯罪者による新たな詐欺

投稿を共有する

Microsoft が 2022 年にデフォルトでマクロのブロックを開始して以来、サイバー犯罪者は、仮想ハード ディスク ドライブ (VHD)、コンパイル済み HTML (CHM) な​​ど、以前はめったに見られなかったファイル タイプの使用を含む、多くの新しい戦術、手法、手順 (TTP) を試してきました。 、そして今は OneNote (.one) です。 分析の時点で、Proofpoint によって観察されたいくつかの OneNote マルウェア サンプルは、VirusTotal の多数のウイルス対策ベンダーによって検出されませんでした。

電子メールの件名と送信者はさまざまですが、ほとんどすべてのキャンペーンは独自のメッセージを使用してマルウェアを拡散し、通常はスレッド ハイジャックを使用しません。 電子メールには通常、「請求書」、「銀行振込」、「配送」などのトピック、または「ホリデー ボーナス」などの季節的なトピックを含む OneNote ファイルが添付されています。 2023 年 577 月中旬、Proofpoint の研究者は、サイバー犯罪者が URL を使用して OneNote の添付ファイルを送信し、同じ TTP を利用してマルウェアを実行していることを確認しました。 これには、31 年 2023 月 XNUMX 日の TAXNUMX キャンペーンが含まれます。

ファイルが埋め込まれた OneNote ドキュメント

OneNote ドキュメントには埋め込みファイルが含まれており、多くの場合、ボタンのようなグラフィックの背後に隠されています。 ユーザーが埋め込みファイルをダブルクリックすると、警告が表示されます。 ユーザーが [次へ] をクリックすると、ファイルが実行されます。 ファイルは、さまざまな種類の実行可能ファイル、ショートカット ファイル (LNK)、または HTML アプリケーション (HTA) や Windows スクリプト ファイル (WSF) などのスクリプト ファイルです。

OneNote の添付ファイルを使用したキャンペーンの数は、2022 年 31 月から 2023 年 2023 月 XNUMX 日の間に大幅に増加しました。 Proofpoint の専門家は、XNUMX 月に AsyncRAT マルウェアを使用した OneNote キャンペーンのみを観察しましたが、XNUMX 年 XNUMX 月に研究者は、OneNote の添付ファイルを介して配布された他の XNUMX 種類のマルウェア (Redline、AgentTesla、Quasar RAT、XWorm、Netwire、および DOUBLEBACK Qbot) を発見しました。 キャンペーンは、ヨーロッパを含む世界中の組織を標的にしていました。

キャンペーン数の増加と展開されたマルウェアの種類の増加は、OneNote がさまざまなスキル セットを持つ複数のアクターによって使用されていることを示唆しています。 同様のルアーとオーディエンスを使用するキャンペーンもありますが、ほとんどのキャンペーンは異なるインフラストラクチャ、テーマ、およびオーディエンスを使用します。 特定のサイバー犯罪グループ TA577 に割り当てることができるキャンペーンは XNUMX つだけです。

心配と希望

Proofpoint は、複数のサイバー犯罪グループが OneNote の添付ファイルを使用して防御メカニズムをだましていると考えています。 TA577 の OneNote の使用は、他のより有能なプレーヤーがこの手法をすぐに採用することを示しています。 これは憂慮すべきことです。TA577 は、いわゆる「初期アクセス ブローカー」として、ランサムウェアを含む他のマルウェアによるその後の感染への道を開きます。 Proofpoint は、オープンソースのマルウェア リポジトリのデータに基づいて、最初に使用された添付ファイルは、いくつかのウイルス対策エンジンによって悪意のあるものとして検出されなかったと判断しました。 したがって、最初のキャンペーンの効果率は高かったと考えられます (メッセージが悪意のあるものとして分類されたため、Proofpoint の顧客は保護されていました)。

希望の理由の XNUMX つは、受信者が添付ファイルを開いた後、具体的には埋め込みファイルをクリックし、OneNote が表示する警告メッセージを無視するというアクションを実行した場合にのみ、攻撃が成功するという事実です。 企業は、この手法についてエンド ユーザーを教育し、疑わしい電子メールや添付ファイルを報告するよう奨励する必要があります。

詳細は Proofpoint.com をご覧ください

 

プルーフポイントについて

Proofpoint, Inc. は、大手サイバーセキュリティ企業です。 Proofpoint の焦点は、従業員の保護です。 これらは企業にとって最大の資本であると同時に、最大のリスクでもあるからです。 Proofpoint は、クラウドベースのサイバーセキュリティ ソリューションの統合スイートにより、世界中の組織が標的型脅威を阻止し、データを保護し、サイバー攻撃のリスクについて企業の IT ユーザーを教育するのに役立ちます。

 

トピックに関連する記事

レポート: 世界中でフィッシングが 40% 増加

カスペルスキーの 2023 年のスパムとフィッシングに関する現在のレポートがすべてを物語っています。ドイツのユーザーは次のようなことを求めています。 ➡続きを読む

IT セキュリティ: NIS-2 により最優先事項となります

経営陣が IT セキュリティに責任を負っているのはドイツ企業の 4 分の 1 だけです。特に中小企業では ➡続きを読む

欧州企業を狙うステルスマルウェア

ハッカーはステルスマルウェアを使ってヨーロッパ中の多くの企業を攻撃しています。 ESETの研究者は、いわゆるAceCryptor攻撃が劇的に増加していることを報告しました。 ➡続きを読む

サイバー攻撃は 104 年に 2023% 増加

サイバーセキュリティ会社は、昨年の脅威の状況を調査しました。結果は、以下の重要な洞察を提供します。 ➡続きを読む

モバイル スパイウェアはビジネスに脅威をもたらす

日常生活でも会社でもモバイルデバイスを使用する人がますます増えています。これにより、「モバイル」のリスクも軽減されます。 ➡続きを読む

テスト: エンドポイントおよび個々の PC 用のセキュリティ ソフトウェア

AV-TEST ラボからの最新のテスト結果は、Windows 向けの 16 の確立された保護ソリューションの非常に優れたパフォーマンスを示しています。 ➡続きを読む

クラウドソーシングのセキュリティで多くの脆弱性を特定

クラウドソーシングによるセキュリティは、昨年大幅に向上しました。公共部門では、前年よりも 151% 多くの脆弱性が報告されました。 ➡続きを読む

サイバー犯罪者は学習している

セキュリティ研究者が 2024 年のインシデント対応レポートを発表しましたが、これは増加するサイバー脅威の憂慮すべき状況を描いています。調査結果は以下に基づいています ➡続きを読む

ストーリー
, , , ,