最新の脅威リサーチにアクセスする
脅威リサーチ
概要 本稿は、攻撃者らが Microsoft OneNote ファイルを悪用するさいに使う埋め込みペイロードの種類について取り上げます。私たちが WildFire から得た約 6,000 件の悪質な OneNote サンプルを分析したところ、これらのサンプルにはフィッシングに似たテーマが存在することが明らかになりました。これらのサンプルでは、攻撃者らが、1 つ以上の画像を使ってユーザーに OneNote ファイルをクリックまたは操作させようとします。その後、そうしたやり取りが埋め込まれた悪意のあるペイロードを実行します。 Office ではマクロがデフォルトで無効になっていますので、攻撃者らはほかの Microsoft 製品を使って悪意のあるペイロードを埋め込むようになってきました。この結果、悪意のある OneNote ファイルの人気が高まっています。OneNote のデスクトップ アプリは Windows では Office 2019 および Microsoft 365 にデフォルトで含まれています。このため、誰かがうっかり OneNote ファイルを開くと、悪意のある OneNote ファイルが読み込まれてしまうおそれがあります。 私たちは、攻撃者らが OneNote 内にテキストベースの悪意のあるスクリプトやバイナリー ファイルを自由に埋め込めることを確認しました。これにより、従来のドキュメント内マクロに比べた柔軟性が高まります。 パロアルトネットワークスのお客さまは、以下の製品を通じて、上記の脅威からより強力に保護されています。 WildFire を含むクラウド配信セキュリティサービスを有効にした次世代ファイアウォール WildFire を含むクラウド配信セキュリティ サービスを有効にした Prisma...
脅威リサーチ
概要 StrelaStealer は、よく知られた電子メール クライアントからメールのログイン データを盗み、攻撃者の C2 サーバーに送り返すマルウェアです。攻撃が成功すると、攻撃者は被害者のメールのログイン情報にアクセスし、それを利用してさらなる攻撃を実行できるようになります。2022 年の同マルウェアの初出現以降、StrelaStealer の背後にいる脅威アクターは複数の大規模な電子メール キャンペーンを開始してきました。その勢いに衰えの兆しはありません。 最近、弊社のリサーチャーは、EU や米国の 100 以上の組織に影響を与えている大規模な StrelaStealer キャンペーンの攻撃波を特定しました。これらのキャンペーンは、最終的には StrelaStealer の DLL ペイロードを起動することになる、添付ファイル付きのスパム電子メールの形式で送信されてきます。 攻撃者は検出を回避するために、キャンペーンごとに最初の電子メール添付ファイルの形式を変更することで、以前に生成されたシグネチャやパターンによる検出の防止を試みます。マルウェアの作者はよく、より優れた難読化や対解析手法を使って DLL ペイロードを更新してくるので、アナリストやセキュリティ製品による分析はますます困難になっています。 本稿では、これらの最近の攻撃タイムラインと、同マルウェアが採用する進化する戦術を詳しく掘り下げます。 パロアルトネットワークスのお客さまは、Advanced WildFire が提供する検出とインテリジェンス、ならびに以下の製品による保護を通じ、StrelaStealer からより適切に保護されています。 Advanced WildFire と Cortex XDR の組み合わせは StrelaStealer の新しい亜種の検出に役立ちます。Cortex XDR は、StrelaStealer の攻撃チェーンの防止に役立ちます。 Advanced WildFire の検出、Advanced URL Filtering、DNS Security...
Unit 42 からの最新情報を取得
