Excelを悪用してマルウェアを展開するウクライナを狙うサイバー攻撃特定
マイナビニュース / 2024年6月7日 10時25分
Fortinetは2024年6月3日(米国時間)、「Menace Unleashed: Excel File Deploys Cobalt Strike at Ukraine|Fortinet Blog」において、Microsoft Excelを悪用したウクライナを標的とする高度なサイバー攻撃を特定したと伝えた。この攻撃ではExcelに悪意のあるVBAマクロを埋め込み、多段階のマルウェア戦略を使用してマルウェアとしての「Cobalt Strike」を展開するという。
○侵害経路
Fortinetによると、入手したExcelファイルにはユーザーを誘惑するウクライナ語の文章が書かれており、マクロの有効化を求めるという。マクロを有効化すると「軍事ユニットに割り当てられた予算額」を表示するとされる。
この予算額の表示は「おとり」とみられ、マクロは文字列にエンコードされたDLL(Dynamic Link Library:ダイナミックリンクライブラリ)をバックグラウンドで展開する。その後、rundll32.exeを介してregsvr32を実行し、展開したDLLを実行する。
DLLは難読化されたマルウェアローダーで、実行すると一部のセキュリティソリューションを検出して終了しようとする。次に、攻撃者のサーバから後続のペイロードをダウンロードしようとするが、被害者のデバイスがウクライナに存在する場合に限りペイロードのダウンロードに成功する。
その後、永続性を確立するDLLを展開、実行する。最終段のDLLには高度なサンドボックス検出機能やアンチデバッグ機能があり、セキュリティ研究者による分析を妨害する。分析妨害を終えるとマルウェアとしての「Cobalt Strike」をメモリに展開して実行する。
○マルウェアとしての「Cobalt Strike」
Cobalt StrikeはFortraが販売するペネトレーションテストツールで、さまざまなサイバー攻撃をテスト目的で実行することができる。しかしながら、その強力な機能はサイバー犯罪者に好まれており、海賊版のCobalt Strikeが積極的に悪用されている。
○対策
Microsoft Office製品には多数のプラグインやスクリプトを実行する豊富な機能があり、サイバー攻撃に悪用可能だ。これら製品のファイルを開く場合は、事前に信頼できる作成者のファイルか確認する必要があり、また、マクロの実行は許可しないことが推奨される。
Fortinetはこの攻撃を回避するためにアンチウイルスソフトウェアを導入することを推奨している。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
WindowsのMSCファイルに任意のJavaScript実行の脆弱性、注意を
マイナビニュース / 2024年6月27日 7時46分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
人材紹介会社を装いマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年6月18日 11時31分
-
Windowsの検索プロトコルを悪用してマルウェア配布するサイバー攻撃に注意
マイナビニュース / 2024年6月17日 9時16分
-
Androidユーザー狙う偽アプリに注意、3つの攻撃が進行中
マイナビニュース / 2024年6月15日 14時32分
ランキング
-
1老後の趣味で気軽に“塗り絵”を始めて1年後…… めきめき上達した70代女性の美麗な水彩画に「本当にすごい…」「感動です」
ねとらぼ / 2024年6月29日 22時0分
-
2「ロンハー」有吉弘行のヤジに指摘の声「酷かった」「凄く悲しい言葉」 42歳タレントが涙浮かべる
ねとらぼ / 2024年7月2日 15時31分
-
3シャオミ、ペンを発売 「書き心地は良いが、タブレットとペアリングはできません」と公式
ITmedia NEWS / 2024年7月3日 8時30分
-
4坂本龍馬はそんなこと言わない! 居酒屋で発見された“ウソすぎる名言”が話題「おもろすぎる」「せめて土佐弁で」
ねとらぼ / 2024年7月2日 20時30分
-
5マイナポータルで障害、一部機能が利用しづらくなった
ASCII.jp / 2024年7月2日 16時35分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)