JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月13日、公式ブログ「JPCERT/CC Eyes」の記事「暗号資産交換業者を標的とするParallax RAT感染を狙った活動」において、暗号資産交換業者を狙う新たなマルウェア攻撃に関する情報を公開した。この攻撃キャンペーンは2023年2月頃に確認されたもので、OneNoteファイルを使用して最終的に「Parallax RAT」と呼ばれるマルウェアに感染させ、標的のPCの遠隔操作を可能にする。

「Parallax RAT」は2019年頃から観測されているマルウェアで、電子メールの添付ファイルを介して感染に至らせる手口がよく知られている。システム情報の収集や、クリップボード内容取得、キーロギング、リモートコントロールなどの機能を備えており、攻撃者は標的のPCから機密情報を盗み出したり、任意のスクリプトを実行して遠隔から操作したりできるようになる。

  • Parallax RAT感染までの流れ 引用:JPCERT/CC Eyes

    Parallax RAT感染までの流れ 引用:JPCERT/CC Eyes

今回確認された攻撃キャンペーンの特徴としては、感染の起点として拡張子が「.one」のMicrosoft OneNoteファイルが使用された点が挙げられている。具体的には、電子メールに記載されたGoogle DriveのURLからzipファイルをダウンロードさせ、そのzipファイルを展開したら現れるOneNoteファイルを開くと、ファイル内のVBスクリプトファイルをクリックするように促される。このVBスクリプトファイルを実行すると、Parallax RATを含む複数のファイルがダウンロードされて、感染に至るという仕組みになっている。

OneNoteファイル内に埋め込まれたVBスクリプトは画像によって隠されており、ユーザーは実行可能なファイルだと気付かずにクリックしてしまう可能性があるという。スクリプト自体も難読化されているが、JPCERT/CCの分析により、最終的にPowerShellスクリプトが実行されてペイロードのダウンロードを行うことが確認されている。

  • 攻撃に使われたOneNoteファイルの例 引用:JPCERT/CC Eyes

    攻撃に使われたOneNoteファイルの例 引用:JPCERT/CC Eyes

JPCERT/CC Eyesの記事では、感染に至るまでの手口の詳細や、Parallax RATに関する分析結果、感染の発見に役立つIoC(侵害の痕跡)などがまとめられている。

最近、マルウェアへの感染の起点としてOneNoteファイルを使う手口が増えている。これは、MicrosoftがWordやExcelなどにおいてマクロの無効化によるマルウェア対策を進めている影響だと考えられている。