マイクロソフトが昨年、Office アプリケーションでマクロをデフォルトでブロックする措置を取ったことで、犯罪者はサイバー攻撃を仕掛けるために、同ソフトウェア ベンダーの LNK ファイル (Windows が他のファイルを参照するために使用するショートカット) など、他のツールを探す必要に迫られている。
「マイクロソフトが2021年末にOfficeのマクロ動作の変更を発表した際、最も蔓延しているマルウェアファミリーのうち、初期感染チェーンの一部としてLNKファイルを使用していたものはごくわずかでした」と、タロスの脅威研究者であるギルヘルメ・ベネレ氏は1月19日付のレポートに記している。「一般的に、LNKファイルはRaspberry Robinのようなワーム型マルウェアによって、リムーバブルディスクやネットワーク共有への拡散に利用されます。」
Talos の研究者らによると、これらのファイルは、犯罪者が Qakbot バックドア マルウェア、マルウェア ローダー Bumblebee、マルウェア ドロッパーの IcedID などの脅威を実行する前に、被害者のシステムへの最初のアクセスを取得するのにも役立っているという。
高度な持続的脅威(APT)グループであるGamaredonも、2022年8月にウクライナの組織に対して開始されたキャンペーンを含め、LNKファイルを使用しています。
MicrosoftのVBAマクロへの移行を受けて、他の手法やツールへの移行は迅速に行われました。マクロがブロックされた直後、Proofpointの研究者は、サイバー犯罪者がISOファイルやRARファイル、LNKファイルなどの代替手段を探していることに気づきました。
12月に、Talosの研究者は、一部のAPTグループとマルウェアファミリがExcelのXLLファイルに移行していると述べました。
マイクロソフトが2つの攻撃手段を遮断:OfficeマクロとRDPブルートフォース攻撃
続きを読む
バルカン・サイバーのシニアテクニカルエンジニア、マイク・パーキン氏によると、脅威グループの適応力は驚くべきものではないという。「脅威アクターは、標的の防御力や攻撃対象領域の変化に応じて急速に進化してきました」とパーキン氏はThe Register紙に語った。「Officeマクロは攻撃の標的として好まれていたため、攻撃者がLNK(リンク)ファイルという別の手段を思いついたのも当然のことです。」
悪意のあるLNKファイルを初期アクセスに利用する手法は、「2010年に初めて発見されたStuxnet攻撃など、長年にわたり利用されてきた巧妙な手法です」と、CardinalOpsのサイバー防衛戦略担当副社長、フィル・ネレイ氏はThe Registerに語った。「LNKファイルに保存されたメタデータを使って実行ファイルを自動的に起動するというWindowsの基本的な機能を悪用するため、効果的な手法です。」
- 犯罪者がT-Mobile USの顧客4000万人のデータを盗む
- ついにランサムウェアの被害者は支払いを拒否している
- Mailchimp、5ヶ月間で2度目のデジタル窃盗を認める
- ランサムウェアが陸上サーバーから1,000隻の船舶を切断
Venere 氏の記述によると、Talos のアナリストは、商用マルウェア グループを追跡しているときに、ダウンロードおよび実行ペイロードへの初期アクセスを取得するために使用される方法として、悪意のある LNK ファイルの人気が高まっていることに気づきました。
LNKファイルの性質そのものが、悪意のあるユーザーにとって魅力的です。特に、LNK形式は、対象オブジェクトに関する多くの情報、アプリケーションの動作、そしてLNKファイルが作成されたシステムのメタデータを保存します。メタデータ自体には、対象ファイルの属性に関するその他のデータが含まれています。
また、Google の無料 LNK Parser など、LNK 構造を解析および分析するためのツールも公開されていますが、これも犯罪者が使用する可能性があります。
さらに、攻撃者は、MLNK Builder、Quantum Builder、RustLNKBuilder などの公開されているビルダー ツールを使用して独自の悪意のある LNK ファイルを開発し、検出を回避しています。
「これらのLNKファイルを巧妙に細工することで、脅威アクターは既存の安全対策の一部を回避し、悪意のあるコードのダウンロードや実行などを実行させることができます」と、Vulcan Cyberのパーキン氏は述べています。「攻撃者がマクロからLNKファイルへとアプローチを急速に切り替えていることは、既存の機能を悪用する新たな方法を非常に独創的に見つけ出せる攻撃者と対峙していることを示しています。」
犯罪者が使用するツールの多くはメタデータ内に情報を残し、脅威研究者がそれらを悪意のあるグループと結び付けるのに役立つと Talos の Venere 氏は記し、さらに、多くのビルダーがファイルからメタデータを消去しているのを確認しており、これは疑わしい動作の兆候であると付け加えた。
とはいえ、Talos はサンプル内のメタデータを使用して、悪意のある LNK ファイルを使用する多くの脅威グループを特定し、異なるグループによる同じドライブ シリアル番号やハッシュの使用などの特徴から、Bumblebee と Qakbot および IcedID の両方への接続を含む関係を検出しました。
「メタデータを通じて漏洩した情報を分析・追跡し、この情報を他の攻撃者の戦術、技術、手順と相関させることで、防御側はより優れた検出技術を開発し、将来の行動を予測して攻撃に備えることができる」と彼は書いている。®
