脅威アクターは、マクロをブロックするためのMicrosoftの取り組みを回避します from securityboulevard.com
security summary
「Proofpoint は他の種類の添付ファイルの顕著な増加を観察しましたが、マクロを有効にしたドキュメントは依然として脅威の状況全体で使用されています」と研究者は書いており、悪意のある者がコンテナ ファイルの使用に転じたため、戦術、技術、および手順 (TTP) が変化したと説明しています。
2 月以降、少なくとも 10 の攻撃者が LNK ファイルを使用し始めています。
ISO やその他のコンテナ ファイル形式の採用により、マクロ対応ドキュメントから、Microsoft が提供するマクロ ブロック保護をバイパスできるさまざまなファイル タイプへの転換が進んでいます。
Proofpoint の研究者は、「このようなファイル タイプは、Microsoft のマクロ ブロッキング保護を迂回するだけでなく、実行可能ファイルの配布を促進し、後続のマルウェア、データの偵察、盗難、ランサムウェアにつながる可能性があります」と述べ、この変更を「最大の電子メール脅威ランドスケープの 1 つ」と呼んでいます。
Proofpoint の研究者はまた、攻撃者が HTML スマグリング (特別に細工された HTML 添付ファイルまたは Web ページ内でエンコードされた悪意のあるファイルを「密輸」するために使用される手法) をますます採用していることを観察しました。
コメント