Proofpointは6月17日(米国時間)、「From Clipboard to Compromise: A PowerShell Self-Pwn|Proofpoint US」において、独自のソーシャルエンジニアリング手法とPowerShellスクリプトを使用してマルウェアを配布する攻撃手法を特定したと伝えた。この戦術はTA571と呼ばれる脅威アクターやClearFakeを配布する脅威アクターに使用され、標的にさまざまなマルウェアを配布するという。
マルウェアを配布する戦術の概要
Proofpointが確認したマルウェアの配布戦術では、偽の警告メッセージを表示して悪意のあるPowerShellスクリプトを実行させる共通点があるとのことだ。発見された戦術のうち主要な2例は次のとおり。
偽のWebブラウザエラー
ClearFakeを配布する脅威アクターは、「偽のWebブラウザエラー」を使用するとされる。攻撃者は悪意のあるWebサイトからイーサーハイディング(EtherHiding)と呼ばれるブロックチェーン技術を使用して、悪意のあるスクリプトを被害者にロードさせる。このスクリプトには直接の攻撃機能はなく、追加の悪意のあるスクリプトをロードする。
2番目のスクリプトは環境を調査し、攻撃可能か判断する機能を持つ。攻撃可能と判断するとWebブラウザ上に偽の警告メッセージを表示する。メッセージには悪意のあるスクリプトをクリップボードにコピーするボタンと、PowerShellにスクリプトを貼り付けて実行する手順が記載されており、ユーザー自らマルウェアをインストールするように誘導する。
ユーザーがメッセージの指示に従い行動するとPowerShell上で悪意のあるスクリプトが実行され、最終的にマルウェアに感染する。Proofpointが確認した例では最初に情報窃取マルウェアの「Lumma Stealer」が展開され、Lumma Stealerを介して追加の4つのマルウェアが展開されたという。
Microsoft Officeの偽のエラー
TA571が使用した戦術では「Microsoft Officeの偽のエラー」が使用された。この戦術では最初にHTMLファイルを添付したメールが配信される。ユーザーが添付されたHTMLファイルを開くと、Microsoft Wordによく似たWebページが表示される。
その後、Wordの警告メッセージに見せかけた偽のエラーが表示され、拡張機能「Word Online」をインストールするように要求する。「How to fix(修正手順)」ボタンをクリックすると修正手順が表示されるが、手順に従うとPowerShellから悪意のあるスクリプトを実行することになり、最終的に複数のマルウェアに感染する。
対策
Proofpointは上記の他にもOneDriveドキュメントに偽装したHTMLファイルや、異なる警告メッセージを表示する事例を確認している。いずれも警告メッセージを表示してPowerShellスクリプトをユーザー自身に実行させるという共通点がある。
このような攻撃を回避するために、企業や組織には従業員に攻撃事例を周知し、セキュリティチームに報告できるようトレーニングすることが推奨されている。また、Proofpointはこれまでの調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を不完全としつつも公開しており、必要に応じて活用することが望まれている。