サイバー犯罪者は、悪意のあるフィッシングペイロードを配信する一般的な方法を阻止しようとする同社の試みを回避するために、コンテナファイルやその他の戦術に目を向けます。
脅威アクターは、MicrosoftのOfficeスイートでのマクロのデフォルトのブロックを回避する方法を見つけており、脅威配信のプライマリチャネルが遮断されているため、代替ファイルを使用して悪意のあるペイロードをホストしています。
Proofpointの新しいデータによると、脅威アクターによるマクロ対応の添付ファイルの使用は、66年2021月から2022年XNUMX月の間に約XNUMX%減少しました。 ブログの記事で 木曜日。 減少の始まりは、Excelユーザーに対してデフォルトでXL4マクロのブロックを開始するというマイクロソフトの計画と一致し、今年はOfficeスイート全体でデフォルトでVBAマクロのブロックが続きました。
Proofpoint Threat ResearchTeamの研究者であるSelenaLarson、Daniel Blackfordなどは、典型的な回復力を示す脅威アクターは、これまでのところ、「最近の歴史で最大の電子メール脅威の状況の変化のXNUMXつ」を示す動きに臆することなく現れています。ポスト。
サイバー犯罪者は今のところ、フィッシングキャンペーンで使用される悪意のあるドキュメントにマクロを使用し続けていますが、マルウェアの容器として他のファイルタイプ、つまりISOやRAR添付ファイルなどのコンテナファイルやWindowsショートカット(LNK)ファイルだと彼らは言った。
実際、マクロ対応ドキュメントの使用が減少した同じ175か月の時間枠で、ISO、RAR、LNK添付ファイルなどのコンテナファイルを利用する悪意のあるキャンペーンの数がXNUMX%近く増加したことが研究者によって発見されました。
「脅威の攻撃者は、マクロ対応の添付ファイルへの依存度を下げながら、引き続きコンテナファイル形式を使用してマルウェアを配信する可能性があります」と彼らは述べています。
マクロはもうありませんか?
Officeで頻繁に使用されるタスクを自動化するために使用されるマクロは、 人気のある方法 少なくとも悪意のある電子メールの添付ファイルでマルウェアを配信する XNUMX年の大部分、プロンプトが表示されたら、ユーザーの一部をマウスでXNUMX回クリックするだけで許可できるため、
マクロはOfficeでデフォルトで長い間無効にされてきましたが、ユーザーはいつでも有効にできます。これにより、攻撃者は、Officeアプリでマクロが有効になっているときに悪意のあるコンテンツを自動的に実行できるVBAマクロと、Excel固有のXL4マクロの両方を武器にすることができます。 。 通常、俳優は 社会的に設計された フィッシングキャンペーン マクロを有効にする緊急性の被害者を説得して、悪意のある添付ファイルであることがわからないものを開くことができるようにします。
これまでのところ、マクロを完全にブロックするというマイクロソフトの動きは、脅威アクターがマクロを完全に使用することを阻止していませんが、他の戦術へのこの注目すべきシフトに拍車をかけていると、Proofpointの研究者は述べています。
このシフトの鍵は、ファイルがZone.Identifierとして知られるインターネットからのものであるかどうかを示すMark of the Web(MOTW)属性に基づいてVBAマクロをブロックするMicrosoftの方法をバイパスする戦術です。
「Microsoftアプリケーションは、Webからダウンロードするときに、これを一部のドキュメントに追加します」と彼らは書いています。 「ただし、MOTWは、コンテナファイル形式を使用することでバイパスできます。」
確かに、ITセキュリティ会社は便利にアウトフランク 詳細な Proofpointによると、攻撃シミュレーションを専門とする倫理的ハッカー(「レッドチーマー」と呼ばれる)がMOTWメカニズムをバイパスするための複数のオプション。 研究者によると、この投稿は脅威アクターにも気づかれていなかったようです。彼らもこれらの戦術を展開し始めているからです。
ファイル形式Switcheroo
研究者によると、マクロのブロックを回避するために、攻撃者はISO(.iso)、RAR(.rar)、ZIP(.zip)、IMG(.img)ファイルなどのファイル形式を使用してマクロ対応のドキュメントを送信することが増えています。 これは、ファイル自体にはMOTW属性がありますが、マクロ対応のスプレッドシートなど、内部のドキュメントにはないためです。
「ドキュメントが抽出されたとき、ユーザーは悪意のあるコードが自動的に実行されるようにマクロを有効にする必要がありますが、ファイルシステムはドキュメントがWebからのものであると識別しません」と彼らは投稿に書いています。
さらに、攻撃者はコンテナファイルを使用して、LNKなどのコンテンツを追加することでペイロードを直接配布できます。 DLL、または悪意のあるペイロードを実行するために使用できる実行可能(.exe)ファイル。
Proofpointは、悪意のあるキャンペーンでもXLLファイル(Excel用のダイナミックリンクライブラリ(DLL)ファイルの一種)の悪用がわずかに増加していますが、ISO、RAR、およびLNKファイルの使用ほど大幅な増加は見られません。 、彼らは指摘した。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- :持っている
- :は
- :not
- $UP
- 2021
- 2022
- 50
- 66
- 700
- a
- 私たちについて
- 虐待
- 従った
- 越えて
- 俳優
- 加えます
- 追加
- NEW
- 許可されて
- また
- 代替案
- しかし
- 常に
- 間で
- an
- および
- 現れる
- アプリ
- です
- 周りに
- AS
- At
- 攻撃
- 試み
- 自動的に
- 自動化する
- ベース
- BE
- なぜなら
- き
- 開始
- 始め
- さ
- より良いです
- の間に
- ブロック
- ブロッキング
- ブログ
- 両言語で
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- キャンペーン
- 缶
- チャネル
- コード
- 一致した
- comes
- 到来
- 会社
- 会社の
- コンテナ
- コンテンツ
- 続ける
- 納得させる
- 可能性
- カット
- サイバー犯罪者
- Daniel Mölk
- データ
- 減少
- 減少した
- デフォルト
- 防衛
- 配信する
- 配達
- デモ
- 展開します
- 直接に
- 無効
- 分配します
- ドキュメント
- ドキュメント
- ありません
- ドント
- ダイナミック
- enable
- 使用可能
- 完全に
- 倫理的な
- Excel
- 実行します
- 遠く
- File
- 発見
- 続いて
- 発見
- FRAME
- 頻繁に
- から
- 取得する
- 行って
- ハッカー
- 持ってる
- history
- host
- HTTPS
- 識別子
- 識別する
- in
- 含めて
- 増える
- 増加した
- ますます
- INFOSEC
- 内部
- インターネット
- ISO
- IT
- それセキュリティ
- ITS
- 六月
- 知っている
- 既知の
- 風景
- 最大の
- 最低
- less
- 活用
- 図書館
- 可能性が高い
- LINK
- 長い
- マクロ
- マルウェア
- マーク
- 最大幅
- メカニズム
- 方法
- 他には?
- 最も
- の試合に
- ほぼ
- 新作
- ニュースレター
- いいえ
- 注目すべき
- 注意
- 今
- 数
- 10月
- of
- オフ
- Office
- on
- 開いた
- オプション
- or
- その他
- その他
- 概要
- 部
- パーセント
- フィッシング詐欺
- 枢軸
- 計画
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 人気
- ポスト
- 主要な
- 最近
- 信頼
- 研究
- 研究者
- 回復力
- 明らかに
- ラン
- 前記
- 同じ
- セキュリティ
- 思われる
- 見て
- 送信
- シフト
- シフト
- 作品
- 重要
- 簡単な拡張で
- So
- これまでのところ
- 一部
- 特化
- スプレッドシート
- start
- まだ
- 戦略
- そのような
- スイート
- 戦術
- タスク
- チーム
- それ
- アプリ環境に合わせて
- それら
- 自分自身
- ボーマン
- 彼ら
- この
- 今年
- しかし?
- 脅威
- 脅威アクター
- 木曜日
- 時間
- 〜へ
- 順番
- ターニング
- type
- 典型的な
- 一般的に
- 緊急
- つかいます
- 中古
- ユーザー
- users
- VBA
- 船
- 犠牲者
- 仕方..
- ウェブ
- WELL
- この試験は
- いつ
- かどうか
- which
- while
- 意志
- ウィンドウズ
- 書いた
- 年
- ゼファーネット
- 〒