Web ブラウザや電子メールクライアントに保存されているユーザーアカウント情報を窃取するインフォスティーラー(情報の窃取)マルウェアは、実質的に一般ユーザーや企業のユーザーを対象とする攻撃の大半を占める。これに関する内容は昨年12月に ASEC ブログを通して共有している。[1]
命名されたマルウェアの主要機能ごとに配布方式は少しずつ異なるが、一般的にインフォスティーラータイプのマルウェアは、正常なプログラムをダウンロードするページに偽装した不正なサイトを配布経路にしたり、スパムメールの添付ファイル、もしくは Word/Excel のような Microsoft Office ドキュメントを通して活発に配布される傾向を見せてきた。
このブログでは、過去の Microsoft Office ドキュメントを通した不正なファイルの配布割合が大幅に減少した内容と、そのプロセスで確認されたマルウェア配布方式の変化動向を解析した内容を記述している。統計データを生成した数値は、2022年1月から現在までの約1年10カ月間、当社(AhnLab)内部インフラに収集されたファイルのうち、全体 Non-PE 不正なファイルと比べた Microsoft Office ドキュメントマルウェアの割合をベースにしていることを明示しておく。
図1. 2022-2023 Malicious MS Office Files
1. 変化の動向
今までダウンローダーの媒体として活発に使用されてきた Microsoft Office ドキュメントファイルは、ドキュメントプログラムの実行プロセスで最終的にダウンロードしたインフォスティーラータイプのマルウェア以外に、APT マルウェアをダウンロードするプロセスでも多く使用された。配布媒体として Microsoft Office 製品群を使用しなくなった概括的な変化動向を要約すると、以下の通りである。
まず、Word/Excel ドキュメントに挿入されたマクロコード上で外部の不正な URL を通して追加実行ファイル(PE)形態のマルウェアがダウンロードされる方式から、実行ファイル自体が ZIP、R00、GZ、RAR のような圧縮ファイルに圧縮されたり、IMG ディスクイメージファイルフォーマットを活用して電子メールに添付される方式に変化した。これは、難読化された Office VBA マクロコード、もしくは Excel 4.0(XLM)マクロを利用してダウンローダー媒体として配布される Word/Excel タイプのファイル数が減少したことを意味する。
また、社会的な話題やユーザーが興味を持つようなメールの件名、内容、もしくは添付ファイル名を活用したソーシャル・エンジニアリング手法の APT 攻撃は持続的に確認された。ただ、このような攻撃に主に活用されていた配布方式も Word/Excel ドキュメントファイルのマクロを活用したものではなく、Windows ヘルプファイル(CHM)/ショートカットファイル(LNK)などを活用する様子が目立った。
1-1. CHM
Windows ヘルプファイル(*.chm)の場合、2022年の第一、二四半期から著しく配布が増加した。[2] 当社のインフラを通して収集されたサンプルの数を根拠に作成した上記の図1.を確認すると、同じ期間に Microsoft Office の代表的な製品群である Word/Excel を利用したマルウェアの配布が約40%減少したことが分かる。
不正な CHM の配布初期には、スクリプト内部に明示された逆コンパイル対象の不正なファイル(ex.[3] & [4]、「chmext.exe」)が、似たような時期に Word ファイルを通して配布されたファイルと同じであることも確認された。すなわち、これは Word ファイルを通してマルウェアを配布していた攻撃者が Microsoft Office 製品群ではない違うファイルフォーマットを通して攻撃を試みたと見られる。当時に配布されていた CHM ファイルの名前は、新型コロナウイルスの感染案内文、ドキュメント編集およびメッセンジャープログラム使用方法のように、ユーザーの興味を引いて開けざるを得ないように意図されていた。
1-2. LNK
主に Microsoft Office 製品群のファイルを通して配布されていた Emotet マルウェアが LNK ファイルを通して配布される動向が確認されたのも2022年の第二四半期を基点とする。[5] Emotet マルウェアはこれまで VBA マクロコード/Excel 4.0(XLM)マクロを通して活発に配布されてきたため、このような配布媒体の変化は AntiVirus 製品の対応観点でも非常に意味がある部分と言える。
また、過去に Word ファイルを通してマルウェアを配布していた攻撃方式が、不正な LNK ファイルの配布からも確認された。[6] AhnLab では、解析対象となるマルウェアの動作方式、もしくは、攻撃者の C2 URL フォーマットのように様々な情報を考慮し、この攻撃の背後を判断している。これを根拠に、不正な CHM 配布プロセスでも確認されたように、初回実行媒体を Microsoft Office 製品群から LNK ファイルフォーマットに変更しようとする同じ攻撃者の試みと見える。
2. 要約
このように、Word/Excel を活用した典型的な攻撃から別のフォーマットのファイルを通してマルウェアを配布しようとする行為は、実行の媒体となるドキュメント編集プログラムの静的情報に対する検知を回避する目的だけでなく、不正なデータをロードするプロセスで Windows の正常なプロセスを利用したり、Fileless 形態でマルウェアを実行し、ユーザーがどんなタイプのマルウェアが実行されたかを把握し難くするためのものである。
Microsoft Office 製品群のファイルをマルウェアの配布媒体として使用する割合が大幅に減少したのは、2021年初旬/中旬から告知された Microsoft の Excel マクロ使用設定が基本的に無効化された措置によるものであり、AntiVirus 製品の検知を回避しようとする攻撃者の様々な試みが垣間見れる部分である。[7][8](英語外部サイト)
これからもマルウェアを配布する媒体の変化は持続的に生じると見られる。個人のユーザーだけでなく、政府の主要機関/企業、社会基盤施設を対象とした APT 攻撃も日に日に増して知能化/高度化されているため、ユーザーは特に注意する必要がある。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報