脅威アクターは、OfficeでのMicrosoftのマクロブロッキングを中心に展開します

脅威アクターは、OfficeでのMicrosoftのマクロブロッキングを中心に展開します

タイムスタンプ:28年2022月12日24:XNUMX
ソースノード: 2973346

サイバー犯罪者は、悪意のあるフィッシングペイロードを配信する一般的な方法を阻止しようとする同社の試みを回避するために、コンテナファイルやその他の戦術に目を向けます。

脅威アクターは、MicrosoftのOfficeスイートでのマクロのデフォルトのブロックを回避する方法を見つけており、脅威配信のプライマリチャネルが遮断されているため、代替ファイルを使用して悪意のあるペイロードをホストしています。

Proofpointの新しいデータによると、脅威アクターによるマクロ対応の添付ファイルの使用は、66年2021月から2022年XNUMX月の間に約XNUMX%減少しました。 ブログの記事で 木曜日。 減少の始まりは、Excelユーザーに対してデフォルトでXL4マクロのブロックを開始するというマイクロソフトの計画と一致し、今年はOfficeスイート全体でデフォルトでVBAマクロのブロックが続きました。

Proofpoint Threat ResearchTeamの研究者であるSelenaLarson、Daniel Blackfordなどは、典型的な回復力を示す脅威アクターは、これまでのところ、「最近の歴史で最大の電子メール脅威の状況の変化のXNUMXつ」を示す動きに臆することなく現れています。ポスト。InfosecInsidersニュースレター

サイバー犯罪者は今のところ、フィッシングキャンペーンで使用される悪意のあるドキュメントにマクロを使用し続けていますが、マルウェアの容器として他のファイルタイプ、つまりISOやRAR添付ファイルなどのコンテナファイルやWindowsショートカット(LNK)ファイルだと彼らは言った。

実際、マクロ対応ドキュメントの使用が減少した同じ175か月の時間枠で、ISO、RAR、LNK添付ファイルなどのコンテナファイルを利用する悪意のあるキャンペーンの数がXNUMX%近く増加したことが研究者によって発見されました。

「脅威の攻撃者は、マクロ対応の添付ファイルへの依存度を下げながら、引き続きコンテナファイル形式を使用してマルウェアを配信する可能性があります」と彼らは述べています。

マクロはもうありませんか?

Officeで頻繁に使用されるタスクを自動化するために使用されるマクロは、 人気のある方法 少なくとも悪意のある電子メールの添付ファイルでマルウェアを配信する XNUMX年の大部分、プロンプトが表示されたら、ユーザーの一部をマウスでXNUMX回クリックするだけで許可できるため、

マクロはOfficeでデフォルトで長い間無効にされてきましたが、ユーザーはいつでも有効にできます。これにより、攻撃者は、Officeアプリでマクロが有効になっているときに悪意のあるコンテンツを自動的に実行できるVBAマクロと、Excel固有のXL4マクロの両方を武器にすることができます。 。 通常、俳優は 社会的に設計された フィッシングキャンペーン マクロを有効にする緊急性の被害者を説得して、悪意のある添付ファイルであることがわからないものを開くことができるようにします。

これまでのところ、マクロを完全にブロックするというマイクロソフトの動きは、脅威アクターがマクロを完全に使用することを阻止していませんが、他の戦術へのこの注目すべきシフトに拍車をかけていると、Proofpointの研究者は述べています。

このシフトの鍵は、ファイルがZone.Identifierとして知られるインターネットからのものであるかどうかを示すMark of the Web(MOTW)属性に基づいてVBAマクロをブロックするMicrosoftの方法をバイパスする戦術です。

「Microsoftアプリケーションは、Webからダウンロードするときに、これを一部のドキュメントに追加します」と彼らは書いています。 「ただし、MOTWは、コンテナファイル形式を使用することでバイパスできます。」

確かに、ITセキュリティ会社は便利にアウトフランク 詳細な Proofpointによると、攻撃シミュレーションを専門とする倫理的ハッカー(「レッドチーマー」と呼ばれる)がMOTWメカニズムをバイパスするための複数のオプション。 研究者によると、この投稿は脅威アクターにも気づかれていなかったようです。彼らもこれらの戦術を展開し始めているからです。

ファイル形式Switcheroo

研究者によると、マクロのブロックを回避するために、攻撃者はISO(.iso)、RAR(.rar)、ZIP(.zip)、IMG(.img)ファイルなどのファイル形式を使用してマクロ対応のドキュメントを送信することが増えています。 これは、ファイル自体にはMOTW属性がありますが、マクロ対応のスプレッドシートなど、内部のドキュメントにはないためです。

「ドキュメントが抽出されたとき、ユーザーは悪意のあるコードが自動的に実行されるようにマクロを有効にする必要がありますが、ファイルシステムはドキュメントがWebからのものであると識別しません」と彼らは投稿に書いています。

さらに、攻撃者はコンテナファイルを使用して、LNKなどのコンテンツを追加することでペイロードを直接配布できます。 DLL、または悪意のあるペイロードを実行するために使用できる実行可能(.exe)ファイル。

Proofpointは、悪意のあるキャンペーンでもXLLファイル(Excel用のダイナミックリンクライブラリ(DLL)ファイルの一種)の悪用がわずかに増加していますが、ISO、RAR、およびLNKファイルの使用ほど大幅な増加は見られません。 、彼らは指摘した。

タイムスタンプ:

より多くの ハックス