Microsoft Officeファイル、特にExcelとWordファイルは、長年にわたり一部のサイバー犯罪者の標的となってきました。攻撃者は様々な手法を用いて、埋め込まれたVisual Basic for Applicationsマクロを利用し、サイバー犯罪やサイバースパイ活動のために様々な種類のマルウェアをコンピュータに感染させてきました。
多くの場合、ユーザーはこれらのアプリケーション内でコードを実行する際に同意をクリックする必要がありましたが、ソーシャルエンジニアリングの手口の中には、何も知らない被害者を誘導してクリックさせ、悪意のあるマクロの実行を許可してしまうものもあります。また、ユーザーの操作を一切伴わずに脆弱性を直接悪用し、マルウェアを起動させることも可能です。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
ジャンプ先:
- .XLL の悪意あるエクスプロイトが蔓延
- .XLL ファイルを悪用する脅威アクターは誰ですか?
- Microsoft Officeのデフォルトの動作は良い方向に変更されました
- .XLLセキュリティ脅威から身を守る方法
.XLL の悪意あるエクスプロイトが蔓延
Cisco Talos の新たな調査で明らかになったように、脅威アクターは Excel ファイルのイベント処理関数を利用して .XLL ファイルを自動的に起動する可能性があります。これを実現する最も一般的な方法は、Excel アドイン マネージャーが xlAutoOpen または xlAutoClose 関数を呼び出す際に悪意のあるコードを実行することです。
Cisco Talosの研究者は、VirusTotalの特定のクエリを利用して悪意のある.XLLファイルを発見し、そのようなファイルを探すためのYARAルールを作成しました。彼らは、通常のMicrosoft .XLL SDKで構築されたネイティブの.XLLサンプルと、無料で脅威アクターによって最も多く使用されているExcelDNAフレームワークを使用して生成されたサンプルを分離しました(図A)。
図A
上記のグラフは、Microsoft が VBA マクロを含むドキュメントをブロックし始めるずっと前から、脅威の攻撃者が .XLL ファイルの脆弱性を悪用していたことを示しています。
Cisco Talosの研究者は、2017年7月まで悪意のある可能性のあるサンプルは提出されていないことを確認しました。VirusTotalプラットフォームで最初に発見された.XLLペイロードは、侵入テスト担当者やサイバー犯罪者が一般的に使用するテスト手法であるcalc.exeを起動しました。同月提出された2つ目のサンプルは、侵入テストや悪意のある目的で使用される可能性のあるMeterpreterリバースシェルを起動しました。
この活動の後、.XLL ファイルは散発的に出現しましたが、Dridex や FormBook などの悪名高いマルウェア ファミリーがそれを使い始めた 2021 年末まで増加しませんでした。
.XLL ファイルを悪用する脅威アクターは誰ですか?
現在、複数の脅威アクターが .XLL ファイルを使用してコンピューターを感染させています。
司法省によると、APT10(別名:Red Apollo、menuPass、Stone Panda、Potassium)は、2006年から活動しているサイバースパイの脅威グループであり、中国国家安全部と関係があるという。
研究者らは、APT10特有のマルウェア「Anel」を注入するために.XLLを利用するファイルを発見した。これは2017年12月に発見された。
TA410は、米国の公共事業や外交機関を標的とする別の脅威アクターであり、APT10とゆるやかな関連があります。彼らは、2020年に発見された.XLLステージを含むツールキットを使用しています。
カシミールの非営利団体とパキスタン政府関係者を標的としたDoNotチームも、この手法を用いていたようです。.XLLファイルに2つのエクスポート(1つは「pdteong」、もう1つは「xlAutoOpen」)が含まれており、これにより完全に機能する.XLLペイロードが作成されます。「pdteong」というエクスポート名は、DoNotチームによって独占的に使用されています。
FIN7は、ロシアを拠点とするサイバー犯罪組織です。2022年、この組織は悪意のあるメール攻撃キャンペーンにおいて、添付ファイルとして送信される.XLLファイルの使用を開始しました。これらのファイルは実行されると、次の感染段階へのダウンローダーとして機能します。
しかし、VirusTotalにおける.XLLファイルの検出数の急増は、主にDridexマルウェアキャンペーンによるものです。これらの.XLLファイルは、Discordソフトウェアアプリケーションからアクセスできる膨大なペイロードリストから選択される次の感染段階のダウンローダーとして使用されます。
2番目に多いペイロードはFormBookです。これは、オンラインで安価なサービスとして入手可能な情報窃取マルウェアです。メールキャンペーンを利用して.XLLダウンローダーを拡散し、これが次の感染段階であるFormBookマルウェア本体へと移行します。
ハンガリーを標的とした最近のAgentTeslaとLokibotによる攻撃キャンペーンでは、電子メール経由で.XLLファイルが悪用されました。この電子メールはハンガリーの警察署からの送信を装っていました(図B)。
図B
このテキストはCisco Talosによって翻訳されました。
「私たちはブダペスト第7管区警察です。
貴社の優れた業績について伺いました。当センターでは、2022年度予算(添付資料)のお見積りをお願いしております。この予算はハンガリー政府内務省との共同出資となります。2022年8月25日までにご提出ください。添付資料をご覧ください。詳細が必要な場合はお知らせください。
さらに、ベトナムを拠点とする脅威アクターが実行する情報窃取型マルウェア「Ducktail」は、.XLLファイルを使用します。脅威アクターは、「プロジェクトマーケティング計画の詳細とFacebook Google Adsの結果レポート.xll」というファイルを使用して、標的にDucktailマルウェアを感染させました。
Microsoft Officeのデフォルトの動作は良い方向に変更されました
VBA マクロの使用による感染を防ぐために、Microsoft は、インターネットからダウンロードしたファイル内のマクロをブロックするように Office 製品のデフォルトの動作を変更することを決定しました。
Officeアドインは、Officeアプリケーションに追加することで機能強化やアプリケーションの外観向上を図る実行可能コードです。Officeアドインには、VBAコードや、.NETバイトコードでコンパイルされた機能を埋め込んだモジュールが含まれる場合があります。これは、COMサーバーや、特定のファイル拡張子に変更されたダイナミックリンクライブラリの形式をとる場合があります。
Microsoft Wordアプリケーションのアドインは、Officeのバージョンに応じて、レジストリ値で指定された場所に配置する必要があり、そのフォルダに.WLL拡張子のファイルを置くと、Wordのプロセス空間に読み込まれます。
Microsoft Excelの場合、ユーザーが.XLL拡張子のファイルをクリックすると、自動的にExcelが.XLLファイルのオープナーとして起動されます。いずれの場合も、Excelソフトウェアは潜在的なマルウェアやセキュリティ上の問題に関するメッセージを表示しますが、一般ユーザーはこのような警告を無視する傾向があるため、この方法は効果的ではありません。
.XLL アドインは通常、Microsoft Excel .XLL ソフトウェア開発キットを使用して C/C++ プログラミング言語で開発されますが、Add-In Express や Excel-DNA などの一部のフレームワークでは、C# や VB.NET などの .NET 言語の使用が許可されています。
.XLLのセキュリティ脅威から身を守る方法
企業環境では.XLLファイルの使用はそれほど一般的ではありません。そのため、.XLLファイルを必要としない企業は、自社環境内での.XLLファイルの実行をブロックする必要があります。企業で.XLLファイルの使用を許可している場合は、エンドポイントとサーバーで綿密な監視を実施し、疑わしいアクティビティを検知して調査する必要があります。
メールゲートウェイはデフォルトで.XLLファイルを受け付けないようにし、企業ユーザーへの注意喚起を促すべきです。Excelからアドインの実行に関する警告メッセージが表示されたが、その理由がわからない場合は、実行を許可せず、IT部門またはセキュリティ部門に連絡してください。
TechRepublic Premium のこのセキュリティ認識およびトレーニング ポリシーと IT 電子メール セキュリティ アラート テンプレートは、サイバー セキュリティ災害の発生を防ぐのに役立つ優れたリソースです。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
