Microsoftは、「Microsoft Office」の機能を利用して「Windows」システムを危険にさらすサイバー犯罪キャンペーンについて、注意を喚起している。
大量のWindows PCを危険にさらそうとするサイバー犯罪者は、依然としてOfficeアプリケーションを好んで利用するようだ。
Microsoftは6月に入って、攻撃者がOfficeの脆弱性を悪用してトロイの木馬をインストールするスパム攻撃を仕掛けていると警告していた。このバグが原因で、Windowsユーザーがマクロを有効化しなくても、攻撃者がWindows PCのセキュリティを侵害することが可能になっていた。
新しいマルウェアキャンペーンではMicrosoftソフトウェアの特定の脆弱性を悪用するわけではなく、「Microsoft Excel」の添付ファイル内の悪意あるマクロ関数を使用して、完全にパッチが適用されたWindows PCのセキュリティを侵害する恐れがある。
Microsoftのセキュリティインテリジェンスチームによると、このキャンペーンは「悪名高い『FlawedAmmyy』(リモートアクセストロイの木馬) RATをメモリー内で直接ダウンロードして実行するために複雑な感染チェーンを利用している」という。
セキュリティ企業のProofpointによると、FlawedAmmyyは金融業界や小売業界の企業を標的にするのに使用されてきたことが知られているという。ProofpointはFlawedAmmyyの背後にいるグループをTA505と呼んでいる。TA505は頻繁にMicrosoftの添付ファイルとソーシャルエンジニアリングを使用して、被害者のシステムを危険にさらしている。
攻撃は、電子メールとExcelの添付ファイル(拡張子は.xls)から始まる。Microsoftは電子メールの受信者に対して、これらの添付ファイルを開かないよう警告している。
Microsoftはこの脅威に関するスレッドの中で、「.xlsファイルを開くと、msiexec.exeを実行するマクロ関数が自動的に実行され、デジタル署名された実行ファイルを含むMSIアーカイブがダウンロードされる。この実行ファイルは抽出されて実行され、メモリー内の別の実行ファイルを復号して実行する」と述べている。
メモリー内で実行するこの手法により、マルウェアはディスク上のファイルだけをスキャンするウイルス対策ソフトウェアによる検知を回避できるとみられる。
その後、悪意ある実行ファイルはwsus.exeと呼ばれるファイルをダウンロードして復号する。このファイルは、公式の「Microsoft Windows Service Update Service」(WSUS)とみなされるように偽装されているようだ。この実行ファイルは6月19日にデジタル署名されており、RAM内でペイロードを復号する。この最後のペイロードがFlawedAmmyyだ。
この特別な攻撃は、添付ファイルに韓国語の文字が含まれていることから、韓国語を話すWindowsユーザーを標的にしているようだ。
Anomaly detection helped us uncover a new campaign that employs a complex infection chain to download and run the notorious FlawedAmmyy RAT directly in memory. The attack starts with an email and .xls attachment with content in the Korean language. pic.twitter.com/PQ2g7rvDQm
— Microsoft Security Intelligence (@MsftSecIntel) 2019年6月21日
「『Microsoft Threat Protection』はこの攻撃から顧客を保護している」とMicrosoftは説明している。
さらに、「Defender ATP」の機械学習システムが、「すぐにこの攻撃のコンポーネントすべてをブロックしており、それにはFlawedAmmyy RATペイロードも含まれている」という。また、「Office 365 ATP」を利用する企業ユーザーは、Office 365のセキュリティツールがスパムを検出しているため安心して良さそうだ。
BleepingComputerが書いているように、TrendMicroは6月中旬、チリやメキシコ、中国、韓国、台湾などのWindowsユーザーを標的とするTA505の活動について説明している。この攻撃は主にMicrosoft Officeアプリケーション向けの悪意のあるマクロを用いて実行され、被害者にFlawedAmmyyマルウェアを実行させるという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。