mouseoverイベントで感染

ほぼこもセキュリティニュース By Terilogy Worx

mouseoverイベントというものをご存じですか?
mouse hoverと表記されることもあります。
ポインティングデバイス (マウスやトラックパッドなど) のカーソルが要素またはその子要素のうちの一つの上を移動したときに発生するイベントです。
画像の上にマウスポインタを持っていくとその画像の説明の文字列が表示されるなどの動きを実現している元となっているイベントです。
この機能を悪用した攻撃が観測されています。

  • 脅威アクターはOECDに関連したものと騙るPowerPointファイルを公開する
  • 誰かがそのPowerPointファイルをダウンロードする
  • PowerPointファイルをプレゼンモードで表示する
  • 画面に表示されるURL表示にマウスポインターを重ねる
    重ねるだけです、クリックは必要ありません。

     

  • 悪意あるPowerShellスクリプトが起動される
    JPGファイルが勝手にダウンロードされます。

     

  • JPGファイルはJPGファイルではない
    ダウンロードしたJPGファイルはファイル名はJPGファイルです。
    が、中身は暗号化されたDLLファイルになっています。
    これが1段目の取り込みとなっています。
    復号化され、配置され、起動されます。

     

  • 2段目の取り込み
    マルウェアは1段目のファイルのみでは出来上がりません。
    1段目は2段目のJPGに見えるものを入手し、ごにょごにょ処理します。

     

  • マルウェアはGraphite
    ごにょごにょした結果はGraphiteです。
    Graphiteはマルウェアダウンローダーです。
    感染機器のメモリ上にマルウェアを持ってきて動作させます。
    永続化の仕込みも実施されます。

マクロを有効にさせるような利用者を意のままに動かす必要がある行為は必要ありません。
それどころかマウスをクリックさせることさえも必要ありません。
単に特定の場所にマウスを移動させるだけで感染します。

仕込まれたファイルを入手してしまった時点でこの攻撃は不可避な気がします。

また嫌なものが出てきました。

参考記事(外部リンク):In the footsteps of the Fancy Bear: PowerPoint mouse-over
event abused to deliver Graphite implants

blog.cluster25.duskrise.com/2022/09/23/in-the-footsteps-of-the-fancy-bear-powerpoint-graphite/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。