위협 행위자는 Office에서 Microsoft의 매크로 차단을 중심으로

위협 행위자들은 위협 전달을 위한 기본 채널이 차단됨에 따라 대체 파일을 사용하여 악성 페이로드를 호스팅하는 Office 제품군의 매크로 기본 차단을 우회하는 방법을 찾고 있다고 연구원들이 발견했습니다.

Proofpoint의 새로운 데이터에 따르면 위협 ​​행위자의 매크로 지원 첨부 파일 사용은 66년 2021월에서 2022년 XNUMX월 사이에 약 XNUMX% 감소했습니다. 블로그 게시물에서 목요일. 감소의 시작은 Excel 사용자를 위해 기본적으로 XL4 매크로를 차단하기 시작하는 Microsoft의 계획과 일치했으며 올해 Office 제품군 전체에서 기본적으로 VBA 매크로 차단이 뒤따랐습니다.

Proofpoint 위협 연구 팀의 연구원인 Selena Larson, Daniel Blackford 및 다른 연구원들은 "최근 역사상 가장 큰 이메일 위협 환경의 변화 중 하나"를 표시하는 전형적인 회복력을 보여주는 위협 행위자들이 지금까지 이러한 움직임에 굴하지 않고 있다고 말했습니다. 게시물.

현재 사이버 범죄자들은 ​​피싱 캠페인에 사용되는 악성 문서에 매크로를 계속 사용하고 있지만 다른 파일 형식을 맬웨어의 그릇으로 사용하여 Microsoft의 방어 전략을 중심으로 선회하기 시작했습니다. LNK(Windows Shortcut) 파일이라고 합니다.

실제로 매크로 사용 문서의 사용이 감소한 동일한 175개월 동안 ISO, RAR 및 LNK 첨부 파일을 포함한 컨테이너 파일을 활용하는 악성 캠페인의 수는 거의 XNUMX% 증가했다고 연구원들은 밝혔습니다.

"위협 행위자는 계속해서 컨테이너 파일 형식을 사용하여 멀웨어를 전달하는 동시에 매크로 지원 첨부 파일에 덜 의존할 것입니다."라고 그들은 지적했습니다.

매크로는 더 이상 없습니까?

Office에서 자주 사용하는 작업을 자동화하는 데 사용되는 매크로는 대중적인 방법 악성 이메일 첨부 파일에 적어도 XNUMX년의 더 나은 부분, 메시지가 표시되면 사용자의 일부를 마우스로 한 번만 클릭하면 허용될 수 있습니다.

매크로는 Office에서 기본적으로 비활성화되어 있지만 사용자는 항상 활성화할 수 있습니다. 따라서 위협 행위자가 Office 앱에서 매크로를 활성화할 때 악성 콘텐츠를 자동으로 실행할 수 있는 VBA 매크로와 Excel 관련 XL4 매크로를 모두 무기화할 수 있습니다. . 일반적으로 배우가 사용하는 사회적으로 조작 된 피싱 캠페인 악성 첨부 파일인지 모르는 파일을 열 수 있도록 매크로를 활성화해야 한다는 긴급 상황을 피해자들에게 확신시키기 위한 것입니다.

지금까지 마이크로소프트가 매크로를 완전히 차단하려는 움직임은 위협 행위자가 매크로를 완전히 사용하는 것을 막지는 못했지만 다른 전술로의 주목할만한 전환을 촉발했다고 프루프포인트 연구원들은 말했다.

이러한 변화의 핵심은 파일이 Zone.Identifier로 알려진 인터넷에서 온 것인지 여부를 보여주는 MOTW(Mark of the Web) 속성을 기반으로 VBA 매크로를 차단하는 Microsoft의 방법을 우회하는 전술이라고 연구원들은 말했습니다.

"Microsoft 응용 프로그램은 웹에서 다운로드할 때 일부 문서에 이것을 추가합니다."라고 그들은 적었습니다. "그러나 컨테이너 파일 형식을 사용하면 MOTW를 우회할 수 있습니다."

과연 IT보안업체 아웃플랭크는 편리하게 상세한 Proofpoint에 따르면 공격 시뮬레이션을 전문으로 하는 윤리적 해커("레드 팀")가 MOTW 메커니즘을 우회할 수 있는 여러 옵션이 있습니다. 연구원들은 위협 행위자들이 이러한 전술을 배포하기 시작했기 때문에 이 게시물을 눈치채지 못한 것으로 보입니다.

파일 형식 스위처

매크로 차단을 우회하기 위해 공격자들은 ISO(.iso), RAR(.rar), ZIP(.zip) 및 IMG(.img) 파일과 같은 파일 형식을 사용하여 매크로 사용 문서를 보내는 경우가 증가하고 있다고 연구원들은 말했습니다. 이는 파일 자체에 MOTW 속성이 있지만 매크로 사용 스프레드시트와 같은 내부 문서에는 그렇지 않기 때문이라고 연구원들은 지적했습니다.

"문서가 추출되면 사용자는 여전히 악성 코드에 대한 매크로를 활성화해야 자동으로 실행되지만 파일 시스템은 문서가 웹에서 온 것인지 식별하지 못합니다."라고 그들은 게시물에 썼습니다.

또한 위협 행위자는 컨테이너 파일을 사용하여 LNK와 같은 추가 콘텐츠를 추가하여 페이로드를 직접 배포할 수 있습니다. DLL, 또는 악성 페이로드를 실행하는 데 사용할 수 있는 실행 파일(.exe)이 있다고 연구원들은 말했습니다.

Proofpoint는 또한 악의적인 캠페인에서도 XLL 파일(Excel용 DLL(동적 연결 라이브러리) 파일 유형)의 남용이 약간 증가했지만 ISO, RAR 및 LNK 파일의 사용만큼 크게 증가하지는 않았습니다. , 그들은 지적했다.