マイクロソフトが、インターネットからダウンロードしたファイルのマクロをブロックするように Office 製品のデフォルトを変更することを決定したため、サイバー犯罪者は、お気に入りの感染方法の 1 つが消えたことを目の当たりにしました。
一部のサイバー犯罪者は、ExcelのXLLファイルを悪用するなど、一部のMicrosoft Office製品を使い続けるための回避策を既に発見しています。また、Microsoft製品を悪用してコンピューターにマルウェアを感染させる別の方法、つまり感染したOneNoteドキュメントを発見したサイバー犯罪者もいます。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
フィッシング攻撃はAsyncRATマルウェアを配信する
Bitdefenderの新たな調査により、OneNoteを悪用してコンピュータにマルウェアを感染させるフィッシング攻撃が明らかになりました。この攻撃では、サイバー犯罪者はカナダのガス・家庭用燃料小売業者であるUltramarを装い、同社を装ったフィッシングメールを送信していました(図A)。
図A
図 Aに示すように、電子メールには英語とフランス語の両方のテキストが含まれていますが、最も重要なのは、Invoice_32566.one という名前の添付ファイルがあることです。.one ファイル拡張子は OneNote ファイルを示しています。
2 回目の同様のフィッシング キャンペーンでは、添付ファイルに別のファイル名 Invoice_76562.one を使用して、カナダ、英国、米国を攻撃しました。
これらのOneNoteドキュメントを開くと、起動するペイロードはカナダのカトリック教会とインドのデジタルサービスプロバイダからダウンロードされました。どちらも攻撃者によって侵害されたか、あるいはオンラインの初期アクセスブローカー(IAB)に持ち込まれ、マルウェアのホスティングに使用された可能性があります。これは、正規のウェブサイトに悪意のあるコードをホスティングすることで、長期間にわたり検出を回避するためにサイバー犯罪者がよく用いる手法です。
結局、OneNote ドキュメントを開いたユーザーは AsyncRAT に感染しました。Bitdefender は AsyncRAT を「攻撃者が標的の被害者のデバイスに密かに侵入できるように設計された巧妙なリモート アクセス ツール」と説明しています。
AsyncRAT とは何ですか?
AsyncRATのソースコードは2019年からインターネット上で無料で公開されており、オリジナル版はほとんどのセキュリティソリューション、あるいはすべてではないにしても、検出可能です。しかし同時に、開発者はAsyncRATのソースコードを利用して、機能の追加や削除、あるいは検出の難易度を下げるといった改変を行うことも可能となります。
現在、このマルウェアは画面の録画、キーストロークのキャプチャ、システム上のファイルの操作、コードの実行、分散型サービス拒否攻撃の実行などが可能であり、さまざまな目的に利用できる可能性があります。
サイバースパイ活動や金銭目的の攻撃に既に利用されています。AsyncRATに感染したコンピュータは、攻撃者がツール管理パネルで確認し、必要に応じて操作することができます(図B)。複数の感染マシンを同じインターフェースで操作することも可能です。
図B
さらなる攻撃が発生
AsyncRATがもたらす新たな脅威を調査しているのは、Bitdefenderの研究者だけではありません。2022年12月には、Trustwaveもフィッシング攻撃キャンペーンを報告しました。今回は、パスワードの盗難、スクリーンキャプチャの取得、コードの実行など、様々な機能を備えた情報窃取型マルウェア「Formbook」が拡散しました。
「サイバー犯罪者が新たな攻撃ベクトルや検知されにくい手段を駆使してユーザーのデバイスを侵害していることは明らかです」と、Bitdefenderのサイバー脅威インテリジェンスラボのマネージャー、エイドリアン・ミロン氏は断言する。「こうしたキャンペーンは今後数ヶ月で急増する可能性があり、サイバー犯罪者は被害者を侵害するためのより優れた、あるいは改善された手段を試行錯誤しているでしょう。」
この脅威からどのように身を守るのでしょうか?
OneNoteを使用していない企業は、メールサーバーで.one拡張子をブロックする必要があります。これにより、社内ユーザーが会社のツールで感染ファイルを誤って開くことを防ぐことができます。従業員は、潜在的な感染リスクを回避するために、.docや.xlsxなどの別の形式のファイルを要求する必要があります。より極端な方法としては、従業員が会社のツールやシステム上でOneNoteをダウンロードしたり使用したりすることを禁止することもできますが、一部の従業員が既にOneNoteを使用している可能性があるため、これは推奨されません。
悪意のあるOneNoteファイルは、ほとんどの場合、ドキュメント内の添付ファイルを利用しています。これらの添付ファイルにアクセスすると、ソフトウェアは警告を表示し、コンピュータやデータに損害を与える可能性があることをユーザーに伝えます。しかし、これまでの経験から、ユーザーはこれらの警告を無視し、検証ボタンをクリックすることが多いことが分かっています。企業は、以下の対策を講じることで、これらの脅威を防ぐことができます。
- 潜在的に有害なファイルとリンクに関する意識を全従業員に啓発します。
- 悪意のあるファイルやリンクの警告にどのように対応するかについてのプロトコルとトレーニングを構築します。
- OneNote ファイルやその他の脅威によってトリガーされた悪意のあるコードを検出するセキュリティ ソリューションを展開します。
- 共通の脆弱性による侵害を回避するために、すべてのシステムとソフトウェアを更新し、パッチを適用します。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
TechRepublic Academy の以下のリソースでサイバーセキュリティについて詳しく学んでください。
- AZ サイバーセキュリティ開発者バンドル
- 高度なサイバーセキュリティキャリアアップバンドル
- 究極のサイバーセキュリティ&ITキャリア認定パスウェイトレーニングバンドル
- 完全な情報セキュリティと事業継続性バンドル
