HP のサイバーセキュリティ担当者は、すべての条件を満たす電子メール キャンペーンを発見しました。メッセージには PDF が添付されており、Word 文書が埋め込まれており、これを開くと、Microsoft Office の 4 年前のコード実行の脆弱性を悪用して、被害者の Windows PC にマルウェアが感染します。
HP Wolf Securityの研究者によると、悪意のあるWord文書でPDFにブービートラップを仕掛けるという手法は、過去10年間の常套手段とは相容れない。過去10年間、悪意のあるコードはPDFではなく、WordやExcelなどのOfficeファイル形式を悪用してきた。これは、ユーザーが.docxファイルや.xlsxファイルを入手して開くことに慣れているためだ。HPの脅威インテリジェンスチームが今年第1四半期に阻止したマルウェアの約45%は、Office形式を利用していた。
「理由は明白です。ユーザーはこれらのファイル形式に慣れており、ファイルを開くために使用するアプリケーションは広く普及しており、ソーシャルエンジニアリングの餌食となるからです」とHPのマルウェアアナリスト、パトリック・シュレプファー氏は記事の中で説明し、今回の最新の攻撃では「マルウェアはPDF文書で侵入しました。これは攻撃者がPCを感染させるためにあまり使用しない形式です」と付け加えた。
Officeファイルほど利用率が高くないかもしれませんが、サイバー犯罪者はPDFを詐欺やマルウェア攻撃に利用する利点を見出しています。2019年のレポートでは、サイバーセキュリティ企業TitanHQの研究者が、フィッシング攻撃が効果的であるためには、信頼感だけでなく、緊急性や驚きを与える必要があることを明らかにしました。
PDFは人々が信頼する文書形式です。それは、改ざんできない安全な文書であるという認識が一般にあるからです。
「これは、上司のメールアドレスを偽装したり、公式に見えるビジネス文書を添付したりすることで実現できます」と彼らは書いています。「その好例がPDF文書です。…PDFは人々が信頼する文書形式です。なぜなら、改ざんできない安全な文書だと世間一般で認識されているからです。結局のところ、請求書をWord文書ではなくPDFファイルで発行するのはそのためです。残念ながら、ユーザーがPDFを『安全』な文書として信頼しているのは誤りです。」
同社によると、2018年にはPDFファイルに関連する攻撃が少なくとも47,000件発生し、2019年第1四半期にはその数が173,000件にまで増加したという。Digital Shadowsのシニア脅威インテリジェンスアナリスト、Ivan Righi氏はThe Registerに対し、PDFは企業が理解する必要がある脅威であると語った。
「PDFファイルはウェブページと同様の機能を持っています」とリギ氏は述べた。「リモートサイトと連携したり、ローカルプログラムを起動したり、埋め込みファイルを格納したりできます。また、PDFにはクリック可能なリンクやJavaScriptも含まれており、悪意のある目的で悪用される可能性があります。」
他のフィッシング攻撃と同様に、サイバー犯罪者の目的は、ユーザーを騙して悪意のある文書を開かせたり、埋め込みファイル内のマクロを受け入れさせたり、マルウェア感染につながるような行動を取らせたりすることです。つまり、組織は従業員に対し、不明なソースや信頼できないソースからの文書を開かないよう徹底した教育を行うことが重要です。また、企業はメール認証にDMARCなどのツールを利用することもできると、彼は述べています。
古くて実績のある
HPが今年初めに追跡を開始した攻撃は、標的を騙して情報を盗むSnake KeyloggerをPC上で実行させることが目的であり、悪意のあるファイルの埋め込み、リモートホストのエクスプロイトの読み込み、シェルコードの暗号化など、複数の手法を使って検出を逃れるとHPのSchläpfer氏は書いている。
HPによると、攻撃者はメールに添付された「送金請求書」というPDF文書を介して最初のアクセスを試み、受信者がそのPDF文書を開くと、Adobe ReaderがPDF内に含まれる.docxファイルを開くように促します。一見すると、ポップアップ表示されるダイアログボックスには、文書が「検証済み」であり、Microsoft Officeで開いても問題ない、と表示されているように見えます。
実に巧妙ですね….docxファイルのファイル名を巧みに工夫することで、一見するとダイアログボックスの意味が変わってしまうのです。クリックして拡大してください。出典:HP Wolf Spider
これを実現し、マークにファイルが正当であるという印象を与えるために、埋め込まれた.docxファイルの名前は「検証済み。ただし、PDF、Jpeg、xlsx、.docx」となっています。この名前がダイアログのテキストボックスに含まれている場合、次のように表示されます。
標的が「このファイルを開く」オプションをクリックするとWordが起動し、保護ビューが無効になっている場合は、ウェブサーバーからf_document_shp.docというリッチテキスト形式(.rtf)の文書がダウンロードされます。このファイルには不正な形式のOLEオブジェクトが2つ含まれており、これは検出と分析を回避するためのものと考えられます。Schläpfer氏によると、OLEツールでこれらのオブジェクトを分析すると、混乱を招く結果が返される可能性があるとのことです。
- このマルウェア集団はPCに有罪の証拠を仕掛け、被害者を逮捕させる
- 中国とつながりのあるTwisted Pandaがロシアの防衛研究開発をスパイしていたことが判明
- 研究者らがWordやPDFのスクリプト処理に134の欠陥を発見
- FBI:BlackCatランサムウェアが60以上の組織に影響
HPは「Foremost」と呼ばれるフォレンジックプログラムを用いて、不正なオブジェクトを再構築し、その基本情報を確認することに成功しました。これにより、研究者たちはMicrosoft数式エディターのコード実行脆弱性を悪用するコードを発見しました。この脆弱性は2017年11月に修正され、CVE-2017-11882として追跡されています。
この脆弱性を悪用した攻撃者は任意のコードを実行し、PCを乗っ取る可能性があります。これにより、プログラムのインストール、完全なユーザー権限を持つ新規アカウントの作成、データの変更・削除などが可能になります。この脆弱性を悪用するために使用されたコードは暗号化されており、これは検出を回避するための新たな試みを示しているとシュレプファー氏は記しています。
「Office 形式は依然として人気があるが、今回の攻撃は、攻撃者がシステムを感染させるために PDF 文書を武器化して使用していることも示している」と彼は書いている。
ファイルの埋め込み、リモートホストのエクスプロイトの読み込み、シェルコードの暗号化は、攻撃者がマルウェアを検知されないよう実行するために用いる3つの手法に過ぎません。今回の攻撃で悪用された脆弱性は…4年以上も前のものですが、現在も利用され続けていることから、このエクスプロイトは攻撃者にとって依然として有効であることが示唆されます。
このことから私たちが学んだことは、常に最新のパッチを適用すること、受信メッセージからこれらの PDF を検出して削除すること、ユーザーに電子メールの安全性について教育すること、セキュリティ侵害をできる限り抑えるようにネットワークを構成すること、そして、コメント欄で共有していただけるその他のテクニックです。®
