MS、悪意ある「Office」ドキュメント用いたマルウェア攻撃の現状を解説

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2021-09-17 10:32

 Microsoftは米国時間9月15日、「Internet Explorer」(IE)に搭載されているHTMLレンダリングエンジン「Trident」(「MSHTML」とも呼ばれている)に存在する、リモートコード実行(RCE)攻撃につながる脆弱性がどのように悪用されているのかについての調査結果を明らかにした。攻撃者らは「Office」ドキュメントに細工を施し、開発者らを標的にしていたという。

 同社のセキュリティ研究者らは8月、「Windows」システムに潜んでいるこの脆弱性が活発に悪用されていることを発見した。それまで存在を知られていなかったこの脆弱性は共通脆弱性識別子「CVE-2021-40444」を付与され、9月の月例パッチで対処された。

 この攻撃は広範囲に及ぶものではなく、同脆弱性はカスタマイズされた「Cobalt Strike Beacon」ローダーを配布するという、攻撃の初期段階で用いられていた。なお、「Cobalt Strike」はペネトレーションテスト用のツールだ。

 この攻撃は国家を後ろ盾とするスレットアクターの仕業ではなさそうだ。Beaconローダーが通信していた先をMicrosoftが分析したところ、人手を介したランサムウェア攻撃などの複数のサイバー犯罪キャンペーンにひも付けられているインフラだったという。

 同社は、攻撃の一部にソーシャルエンジニアリングが用いられている点から、特定の対象に狙いを絞った攻撃の一要素だと考えられるとし、「このキャンペーンはモバイルアプリ開発者を狙ったものであり、複数のアプリケーション開発組織が標的になっている」と記している。

 Microsoftによると、このキャンペーンで実際に被害を受けた組織の少なくとも1つは、以前に同様の手口によって被害を受けていたという。しかし後のキャンペーンでは、アプリケーション開発者を標的に据えたものから、「少額訴訟」を目的とした脅迫に手口が変化しているという。

 このケースの攻撃者はIEのレンダリングエンジンに潜んでいた脆弱性を悪用し、Officeドキュメント経由で悪意のあるActive-Xコントロールをロードしていた。

 この攻撃において、攻撃者は標的となるデバイスにアクセスした後も、認証情報の窃取を続け、ラテラルムーブメント(水平移動)によって組織全体に影響範囲を広げようとしていた。Microsoftは顧客に対して、脆弱性を完全に除去するために月例パッチを適用するとともに、ネットワークの堅牢化と、重要な認証情報の再設定、ラテラルムーブメントの抑止対策を採るよう推奨している。

 Microsoftは、この攻撃の背後に新興の、あるいは「力を付けつつある」スレットアクターがいるとして、Cobalt Strikeインフラの使用状況を「DEV-0365」として追跡している。なお、この攻撃は単一のスレットアクターによって遂行されているようだ。しかしMicrosoftは、「Conti」ランサムウェアといったマルウェアの展開がこの後に続けられていると確信している。同社はこれが、他のサイバー犯罪者向けのサービスとして販売されているC&Cインフラである可能性を示唆している。

 Microsoftは「2021年8月の攻撃で利用された、CVE-2021-40444を悪用するoleObjectをホストしていた一部のインフラは、『BazaLoader』と『Trickbot』のペイロードも配信していた。この活動は、Microsoftが『DEV-0193』として追跡しているグループによる活動と重複している。なお、DEV-0193の活動は、Mandiantが『UNC1878』として追跡しているグループの活動と重複している」と指摘している。

 BazaLoaderマルウェアは、悪質なコールセンターのオペレーターに利用されている。ソーシャルエンジニアリングで標的をだまし、オペレーターにコールさせて、被害者が自らマルウェアをインストールするように仕向けるという。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]