Excelを悪用してマルウェアを展開するウクライナを狙うサイバー攻撃特定
マイナビニュース / 2024年6月7日 10時25分
Fortinetは2024年6月3日(米国時間)、「Menace Unleashed: Excel File Deploys Cobalt Strike at Ukraine|Fortinet Blog」において、Microsoft Excelを悪用したウクライナを標的とする高度なサイバー攻撃を特定したと伝えた。この攻撃ではExcelに悪意のあるVBAマクロを埋め込み、多段階のマルウェア戦略を使用してマルウェアとしての「Cobalt Strike」を展開するという。
○侵害経路
Fortinetによると、入手したExcelファイルにはユーザーを誘惑するウクライナ語の文章が書かれており、マクロの有効化を求めるという。マクロを有効化すると「軍事ユニットに割り当てられた予算額」を表示するとされる。
この予算額の表示は「おとり」とみられ、マクロは文字列にエンコードされたDLL(Dynamic Link Library:ダイナミックリンクライブラリ)をバックグラウンドで展開する。その後、rundll32.exeを介してregsvr32を実行し、展開したDLLを実行する。
DLLは難読化されたマルウェアローダーで、実行すると一部のセキュリティソリューションを検出して終了しようとする。次に、攻撃者のサーバから後続のペイロードをダウンロードしようとするが、被害者のデバイスがウクライナに存在する場合に限りペイロードのダウンロードに成功する。
その後、永続性を確立するDLLを展開、実行する。最終段のDLLには高度なサンドボックス検出機能やアンチデバッグ機能があり、セキュリティ研究者による分析を妨害する。分析妨害を終えるとマルウェアとしての「Cobalt Strike」をメモリに展開して実行する。
○マルウェアとしての「Cobalt Strike」
Cobalt StrikeはFortraが販売するペネトレーションテストツールで、さまざまなサイバー攻撃をテスト目的で実行することができる。しかしながら、その強力な機能はサイバー犯罪者に好まれており、海賊版のCobalt Strikeが積極的に悪用されている。
○対策
Microsoft Office製品には多数のプラグインやスクリプトを実行する豊富な機能があり、サイバー攻撃に悪用可能だ。これら製品のファイルを開く場合は、事前に信頼できる作成者のファイルか確認する必要があり、また、マクロの実行は許可しないことが推奨される。
Fortinetはこの攻撃を回避するためにアンチウイルスソフトウェアを導入することを推奨している。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
Windowsの検索プロトコルを悪用してマルウェア配布するサイバー攻撃に注意
マイナビニュース / 2024年6月17日 9時16分
-
海賊版Microsoft Officeから複数のマルウェア、削除しても自動で復活
マイナビニュース / 2024年6月1日 9時32分
-
exeファイルをExcelファイルに見せかけてマルウェアを展開するサイバー攻撃に注意
マイナビニュース / 2024年5月31日 13時12分
-
北朝鮮の新しいサイバー攻撃者「Moonstone Sleet」とは?Microsoftが特定
マイナビニュース / 2024年5月31日 9時27分
ランキング
-
1消えたキーマン──「新プロジェクトX」のスパコン「京」回が批判を受けた理由 富士通とNHKの見解は?
ITmedia NEWS / 2024年6月22日 8時20分
-
2電話番号が“汚れている”とは 契約したばかりのスマホに不審な電話がかかってくる理由
ITmedia NEWS / 2024年6月24日 11時11分
-
3作者の不祥事と作品は分けて考えるべき? ゲームからの楽曲削除でマンガ家が感じたこと
ITmedia NEWS / 2024年6月23日 12時20分
-
4久しぶりに「投資の詐欺広告」に釣られて前との違いを確認→まさかの退会者呼び戻しが行われてた
おたくま経済新聞 / 2024年6月24日 16時47分
-
5「死ぬほど笑ったw」 “ほろよい”限定デザイン → 人気ゲームの“例のロゴ”に見えると話題に まさかの公式も反応「ほろよい うま」
ねとらぼ / 2024年6月23日 20時15分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)