ロシア&ベラルーシの陰謀:デバイスコードフィッシングとVBAマクロの脅威

当ページはアフィリエイト広告を利用しています

記事内に広告が含まれています。
ロシア&ベラルーシの陰謀:デバイスコードフィッシングとVBAマクロの脅威
提供:photoAC「NOREA様」

ベラルーシの反体制活動家やウクライナの軍事・政府組織が、新たなキャンペーンのターゲットとなっています。このキャンペーンでは、マルウェアが仕込まれたMicrosoft Excelファイルを利用して、新しい種類のPicassoLoader(特定の目的を持つマルウェア)が配布されています。

キャンペーンの詳細

この攻撃グループは、2016年から活動しているベラルーシに関連する脅威アクター「Ghostwriter」(別名:Moonscape、TA445、UAC-0057、UNC1151)による長期的なキャンペーンの一環とされています。Ghostwriterは、ロシアの安全保障に関連する利益に沿った活動を行い、NATOに批判的な物語を広めています。

攻撃の開始

SentinelOneの研究者であるトム・ヘーゲルは、2024年7月から8月にかけて準備され、2024年11月から12月にかけて活動が活発化したと報告しています。最新のマルウェアサンプルとC2インフラストラクチャの活動から、この作戦が最近でも活動中であることが示されています。

攻撃の手法

攻撃の始まりは、「Vladimir Nikiforech」というアカウントから共有されたGoogle DriveのドキュメントにあるRARアーカイブです。このアーカイブには、マルウェアが含まれるExcelワークブックがあり、被害者がマクロを有効にすると難読化されたマクロが実行されます。このマクロはDLLファイルを書き込み、PicassoLoaderの簡易バージョンを導入します。

デコイファイル

次の段階では、被害者にデコイのExcelファイルが表示され、バックグラウンドで追加のペイロードがシステムにダウンロードされます。2024年6月には、この方法でCobalt Strikeのポストエクスプロイトフレームワークが配布されました。

ウクライナをテーマにした武器化されたExcelドキュメント

SentinelOneは、ウクライナをテーマにした他の武器化されたExcelドキュメントも発見しました。これらのドキュメントは、「sciencealert[.]shop」というURLから不明な二次段階のマルウェアを取得するために使用されました。ちなみにこのURLは現在利用できません。

ステガノグラフィ技法

これらのドキュメントは、一見無害なJPG画像の形でマルウェアを取得するためにステガノグラフィ技法を使用しました。ステガノグラフィ(Steganography)技法とは、情報を隠すための技術で、データやメッセージを他の無害なファイルに埋め込むことを指します。主に画像、音声、ビデオ、テキストファイルなどの中にデータを隠します。例えば、画像ファイルの中に秘密のメッセージを埋め込むことが一般的です。

LibCMD

別の例では、Excelドキュメントを利用して「LibCMD」というDLLが配布されました。これは、cmd.exeを実行し、stdin/stdoutに接続するために設計されたもので、.NETアセンブリとしてメモリに直接読み込まれ、実行されます。

Ghostwriterの活動

2024年を通じて、GhostwriterはMacropackで難読化されたVBAマクロを含むExcelワークブックとConfuserExで難読化された埋め込み.NETダウンローダーの組み合わせを繰り返し使用しました。

ウクライナのターゲット

ベラルーシはウクライナの戦争において軍事作戦には積極的に関与していないものの、関連するサイバー脅威アクターはウクライナのターゲットに対してサイバースパイ活動を行うことに躊躇していないようです。

対策

デバイスコードフローの無効化

  • デバイスコードフローの無効化を検討し、攻撃者がこの手法を利用するリスクを軽減します。

フィッシング耐性の多要素認証(MFA)の有効化

MFAの有効化

  • すべてのユーザーに対して多要素認証を有効にし、フィッシングに強い方法を導入します。例えば、ハードウェアセキュリティキーやFIDO2認証などです。

最小特権の原則に従う

権限の見直し

  • ユーザーやアプリケーションに必要最低限の権限のみを付与し、定期的に権限を見直します。

マクロに対する対策

  1. マクロの無効化
    • 組織内で不必要なマクロを無効にします。不明な送信者からのドキュメントや、信頼できないソースからのファイルに対しては特に注意が必要です。
  2. マクロのデジタル署名
    • マクロの実行を許可する前に、デジタル署名を確認する設定を導入します。これにより、信頼できる発行元からのマクロのみが実行されるようにします。
  3. セキュリティソフトの導入
    • 最新のセキュリティソフトを導入し、マルウェアの検出と防止を行います。リアルタイムスキャンや定期的なシステムチェックを実施します。
  4. ユーザー教育
    • 組織内のユーザーに対して、フィッシング攻撃やマクロを悪用したマルウェアのリスクについて教育し、警戒心を高めます。特に、メールの添付ファイルやリンクに対する注意を喚起します。
  5. 隔離環境での実行
    • 不明なマクロを実行する場合は、隔離された仮想環境で実行するようにします。これにより、システム全体への影響を最小限に抑えます。

出典

The Hacker News『Belarus-Linked Ghostwriter Uses Macropack-Obfuscated Excel Macros to Deploy Malware