悪意のあるドキュメントは死んだ。悪意のあるドキュメント万歳
2023年3月7日、Jonathan Tanner
Microsoft Officeのマクロのマルウェアがコンピュータの感染に使用されるようになってから約30年、配布されるマルウェアの中で最も一般的なタイプの1つとなってから10年が経過しました。ついに Microsoft は、ダウンロードしたファイルのマクロをすべてデフォルトで無効にするという対応策に舵を切りました。これは、マクロのマルウェアに致命的な打撃を与えるでしょう。クリックするだけでマクロが有効になるようなメッセージはもう出ません。マクロは完全にブロックされ、再有効化するためにはユーザー側の多大な介入を必要とします。
しかし、「自然は真空を嫌う」といわれますし、脅威者は長年にわたって文書マルウェアを中心にソーシャル・エンジニアリングの手法を磨き上げてきました。さらに、サイバー犯罪者たちは成功に不可欠な既成概念にとらわれない発想をしますし、マルウェアの検出を回避するために長年、斬新なアプローチを繰り出してきました。こうしたことが、兵器化された OneNote ファイルを Qakbot の配布に使用するという方法に結実したのです。これは、文書マルウェアに対する新しいアプローチの最初の1つであり、今後、いくつもの新たなアプローチが生み出されるでしょう。
QuakNoteマルウェアキャンペーンの仕組み
QuakNote と名付けられたこのキャンペーンは、過去によく見られたいくつかのテクニックを駆使しています。まず、あまり知られていない .oneというファイル拡張子を使うことで、多くの電子メールやマルウェアのスキャナーを回避することができます。問題をさらに深刻にしているのは、Microsoft Office ファイルの大半が使っている OLE2 または OOXML エンコーディングを OneNote が利用していない点です。その結果、マルウェアのスキャンソリューションによっては、そのままではファイルを分析することさえできない場合があります。
この悪意のある OneNote 文書を開くと、別のファイルを開くようユーザーに促します。Microsoft Office や PDF マルウェアによく見られるパターンです。この操作を通して、たいていは埋め込まれたスクリプトやファイルを実行するか、別のマルウェアにリンクしてダウンロードさせます。OneNoteの場合、埋め込まれた HTML アプリケーション(.htaファイル)が実行され、JavaScript を使用して WshShell を通じてWindows シェルコマンドを実行します。この方法は、少なくとも8年前から、いくつかの JavaScript 対応ファイルタイプで使用されています。これらのスクリプトが次のペイロード(この場合は Qakbot )をダウンロードします。しかし、興味深いことに、このキャンペーンでは、Windows 10以降にのみ付属するcurl.exeが使用されています。
Qakbot はボット、すなわち感染したシステム上で動作し、コマンド・アンド・コントロール・サーバーから次に何をするかというコマンドを待つソフトウェアです。Qakbot は特に金融データや認証情報を狙いますが、過去にはランサムウェアの展開にも使用されています。
マクロの扱い方が変わったことで、攻撃者はOfficeのマクロを悪用するのと同じくらい効果的な戦略を模索しています。今回紹介したものは、これから多く出てくるであろう新しい斬新な攻撃の最初の1つだと思われます。あまり知られていないファイルタイプを試す、という方法に加え、今後はPDFマルウェアが増加する可能性もあります。
E-Book:今すぐ知っておくべき13タイプのメール攻撃
原文はこちら
Malicious documents are dead, long live malicious documents
Mar. 7, 2023 Jonathan Tanner
https://blog.barracuda.com/2023/03/07/malicious-documents-dead/
