サイバー犯罪者らは、標的のシステムにマルウェアを感染させるために、巧妙に作り上げた独自のフィッシングメールを用いている。その際に悪質なペイロードを送り込むための新たな手段を模索している。
提供: Getty / Lucy Lambriex
Proofpointの分析によると、「OneNote」の文書を用いてマルウェアを送り込もうとするサイバー攻撃が増加しているという。OneNoteは「Microsoft 365」アプリケーションスイートに含まれているデジタルノートアプリであり、そのファイルは「.one」という拡張子になっている。
同社のリサーチャーらは、OneNoteがこのように悪用されるケースは今までになかったと述べるとともに、攻撃者らがこの手法を試している理由は単純だと指摘している。その理由とは、他の添付ファイルを用いた攻撃に比べると容易に検出を逃れられるというものだ。そしてこの手法は有効であるようだ。
Proofpointは米ZDNetに対して「オープンソースのマルウェアリポジトリーからのデータを見ると、出回り始めて間もない頃は添付ファイルの問題を検出できないウイルス検知エンジンが複数あった。このため、電子メールがブロックされていなければキャンペーンの初期における成功率は高くなっていただろう」と述べた。
「Microsoftがマクロをデフォルトで無効化するようになった2022年以来、脅威アクターらは新たな戦術や技術、手順(Tactics, Techniques and Procedures:TTP)を試みるようになってきている。そういったものの中には、それまではあまり見かけることのなかった拡張子、例えば仮想ハードディスク(.vhd)やコンパイル済みHTML(.chm)、そして今回のOneNote(.one)を使うといった手法が含まれている」(Proofpoint)
2022年12月に発見され、2023年1月に大幅な増加が観測されたこれらのフィッシング電子メールは、「AsyncRAT」や「RedLine」「AgentTesla」「DOUBLEBACK」といったマルウェアのいずれかを送り込もうとするものだ。これらのマルウェアはどれも、ユーザー名やパスワードといった機密情報を標的から盗み出そうとする。
またProofpointのリサーチャーらは、「TA577」という名称で追跡しているサイバー犯罪者グループも「Qbot」を送り込むためのキャンペーンでOneNoteを利用し始めたことを指摘している。TA577は盗み出した情報を自らで利用するのではなく、ランサムウェア集団を含む他のサイバー犯罪者らに売り渡す、初期アクセスのブローカーとして活動している。
これまでに60件を超えるキャンペーンが検出されており、それらにはおおむね請求や送金、出荷に関する内容の他、クリスマス賞与といった季節的な内容に関するメールと添付ファイルが用いられているという共通点がある。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
