Fortinetは2024年6月3日(米国時間)、「Menace Unleashed: Excel File Deploys Cobalt Strike at Ukraine|Fortinet Blog」において、Microsoft Excelを悪用したウクライナを標的とする高度なサイバー攻撃を特定したと伝えた。この攻撃ではExcelに悪意のあるVBAマクロを埋め込み、多段階のマルウェア戦略を使用してマルウェアとしての「Cobalt Strike」を展開するという。

  • Menace Unleashed: Excel File Deploys Cobalt Strike at Ukraine|Fortinet Blog

    Menace Unleashed: Excel File Deploys Cobalt Strike at Ukraine|Fortinet Blog

侵害経路

Fortinetによると、入手したExcelファイルにはユーザーを誘惑するウクライナ語の文章が書かれており、マクロの有効化を求めるという。マクロを有効化すると「軍事ユニットに割り当てられた予算額」を表示するとされる。

  • 悪意のあるExcelファイルの例 - 引用:Fortinet

    悪意のあるExcelファイルの例 引用:Fortinet

この予算額の表示は「おとり」とみられ、マクロは文字列にエンコードされたDLL(Dynamic Link Library:ダイナミックリンクライブラリ)をバックグラウンドで展開する。その後、rundll32.exeを介してregsvr32を実行し、展開したDLLを実行する。

  • 侵害経路 - 引用:Fortinet

    侵害経路  引用:Fortinet

DLLは難読化されたマルウェアローダーで、実行すると一部のセキュリティソリューションを検出して終了しようとする。次に、攻撃者のサーバから後続のペイロードをダウンロードしようとするが、被害者のデバイスがウクライナに存在する場合に限りペイロードのダウンロードに成功する。

その後、永続性を確立するDLLを展開、実行する。最終段のDLLには高度なサンドボックス検出機能やアンチデバッグ機能があり、セキュリティ研究者による分析を妨害する。分析妨害を終えるとマルウェアとしての「Cobalt Strike」をメモリに展開して実行する。

マルウェアとしての「Cobalt Strike」

Cobalt StrikeはFortraが販売するペネトレーションテストツールで、さまざまなサイバー攻撃をテスト目的で実行することができる。しかしながら、その強力な機能はサイバー犯罪者に好まれており、海賊版のCobalt Strikeが積極的に悪用されている。

対策

Microsoft Office製品には多数のプラグインやスクリプトを実行する豊富な機能があり、サイバー攻撃に悪用可能だ。これら製品のファイルを開く場合は、事前に信頼できる作成者のファイルか確認する必要があり、また、マクロの実行は許可しないことが推奨される。

Fortinetはこの攻撃を回避するためにアンチウイルスソフトウェアを導入することを推奨している。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。