画像提供:マイナビニュース

写真拡大

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、最終ペイロードとして認証情報の取得を狙うマルウェア「Nemucode」についての調査レポートを公開。過去5カ月間には、ヨーロッパや米国のほか日本も攻撃対象となった組織があるとして公式ブログUnit 42 ブログで注意を喚起している。

Nemucodは、産業組織別の攻撃が行われており、スペインの土木関連の組織の法務分野もっとも攻撃されており、日本で見られるトラフィックでは、ハイテク産業への攻撃だったという。マルウェアのほとんどがメール経由でポーランドを送信元としている。Unit 42 チームでは、2016年10月から2017年3月にわたり50バージョン以上のVBAコードでMicrosoft Officeに埋め込む"兵器化"した文書を確認しており、その例を紹介している。

VBAコードにはパスワードによる保護設定が行われ、Jscriptによる難読化、Wordに白色フォントカラーで隠した悪意のあるコード、VBAのGUIフォームを使った偽装などファイルを開かせたり、「コンテンツの有効化」クリックさせたりとコードを実行させるために様々な手法を用いている。

「Nemucode」には、OSとアプリケーションの認証情報を一覧・取得しようと試みる。WindowsのOSによってアクセスできる範囲に差があるものの、旧バージョンではInternet Explorerの認証情報、Windows 8やWindows Server 2012の場合でもWindows Vaultと呼ばれる認証情報の格納場所へのアクセスを試みる。またChromeやFirefox、Operaなどのブラウザ、メールクライアントの認証情報収集しC2(C&C/Comand and Control)通信ホストと通信し、段階を踏んで情報を引き渡す。

Unit 42の公式ブログには、メールによる添付ファイル名やドロッパーのハッシュ値なども掲載してある。.exeなど実行ファイルの添付ではメールを開くことは少ないが、Officeファイル文書では思わずクリックしてしまうこともある。あらためて注意が必要になる。