Last Updated on 2024-06-04 21:34 by 荒木 啓介
ウクライナに位置するエンドポイントを対象とした新たな高度なサイバー攻撃が観測され、Cobalt Strikeを展開し、侵害されたホストの制御を奪うことを目的としている。この攻撃は、Fortinet FortiGuard Labsによると、組み込まれたVBAマクロを持つMicrosoft Excelファイルを介して感染を開始する。「攻撃者は、悪名高い”Cobalt Strike”ペイロードを配信し、コマンドアンドコントロール(C2)サーバーとの通信を確立するために、マルチステージマルウェア戦略を使用する」とセキュリティ研究者のCara Linは報告している。この攻撃は、ペイロード配信を成功させるために様々な回避技術を採用している。
Cobalt Strikeは、Fortraによって開発・維持されている正当な敵対者シミュレーションツールキットであり、レッドチーム作戦に使用される。しかし、年月を経て、このソフトウェアのクラック版は悪意ある目的で広く悪用されてきた。攻撃の開始点は、起動時にウクライナ語のコンテンツを表示し、マクロを有効にするように犠牲者に促すExcelドキュメントである。マクロが有効にされると、ドキュメントは背景で軍部隊に割り当てられた資金額に関連するコンテンツを表示する一方で、HEXエンコードされたマクロがレジスタサーバー(regsvr32)ユーティリティを介してDLLベースのダウンローダーを展開する。この隠蔽されたダウンローダーは、Avast AntivirusおよびProcess Hackerに関連するプロセスを監視し、検出された場合には自身を即座に終了する。そのようなプロセスが検出されない場合、次のステージのエンコードされたペイロードをフェッチするためにリモートサーバーに接続するが、対象のデバイスがウクライナに位置している場合に限る。デコードされたファイルはDLLであり、最終マルウェアを抽出して実行するための別のDLLファイル、インジェクターを起動する主な役割を担っている。攻撃手順は、C2サーバー(”simonandschuster[.]shop”)との接触を確立するCobalt Strike Beaconの展開で終了する。
「ペイロードダウンロード中に位置情報に基づくチェックを実装することで、攻撃者は不審な活動を隠蔽し、分析者による検査を回避することを目指している」とLinは述べている。エンコードされた文字列を利用して、VBAは重要なインポート文字列を隠蔽し、DLLファイルの展開を容易にし、後続のペイロードを復号化する。さらに、自己削除機能は回避戦術を支援し、DLLインジェクターはサンドボックス回避とアンチデバッグメカニズムをそれぞれ回避するために遅延戦術を採用し、親プロセスを終了する。
【ニュース解説】
ウクライナに位置するエンドポイントを狙った新たな高度なサイバー攻撃が観測されました。この攻撃は、Microsoft Excelのマクロ機能を悪用して、複数段階にわたるマルウェア攻撃を実行し、最終的には「Cobalt Strike」というツールを用いて侵害されたホストの制御を奪うことを目的としています。Cobalt Strikeは本来、セキュリティ専門家がネットワークの脆弱性をテストするために使用される合法的なツールですが、クラックされたバージョンが悪意ある目的で使用されるケースが増えています。
この攻撃では、ウクライナ語の内容を表示するExcelドキュメントが使用され、ユーザーにマクロを有効にするよう促します。マクロが有効にされると、背景でDLLベースのダウンローダーが展開され、特定のセキュリティソフトウェアを回避しながら、次のステージのペイロードをリモートサーバーから取得します。このプロセスは、対象のデバイスがウクライナに位置している場合にのみ進行します。最終的に、Cobalt Strike Beaconが展開され、攻撃者は侵害されたホストとの通信を確立します。
この攻撃は、位置情報に基づくチェックやエンコードされた文字列の使用など、検出を回避するための複数の技術を採用しています。これにより、攻撃者はセキュリティ分析者の目から隠れながら、特定の地域を狙った攻撃を実行することが可能になります。
このような攻撃は、サイバーセキュリティの分野において重要な課題を提起します。一方で、合法的なツールが悪用されることのリスクを浮き彫りにし、企業や組織が使用するソフトウェアのセキュリティ対策の重要性を強調します。また、地理的な位置情報を利用した攻撃の検出と防御の難しさを示しており、セキュリティ対策の地理的な側面にも注意を払う必要があることを示唆しています。
長期的な視点では、この種の攻撃に対抗するためには、セキュリティソフトウェアの改善だけでなく、ユーザー教育の強化も重要です。特に、マクロの使用に関する警告を無視するリスクや、信頼できるソースからのファイルのみを開くべきであるといった基本的なセキュリティ対策の理解を深めることが求められます。また、国際的な協力による情報共有や、攻撃手法の迅速な公開も、この種の脅威に効果的に対処するためには不可欠です。
from Hackers Use MS Excel Macro to Launch Multi-Stage Malware Attack in Ukraine.
