Microsoftが警告する「Word」を狙ったゼロデイ攻撃 回避するにはここを確認

Microsoft Word文書を利用したゼロデイ攻撃が継続中だ。何に気を付ければよいのだろうか。

[David Jones，Cybersecurity Dive]

　Microsoftは2023年7月11日、Word文書ファイルを利用したフィッシング攻撃について警告した。

政府やインフラ企業を狙う

　攻撃しているのはRomCom（Storm-0978とも呼ばれる）というロシアを拠点としたサイバー犯罪グループだ。恐喝活動や情報収集を目的に、標的型攻撃による資格情報の窃盗で知られている。主な標的は、欧州と北米の防衛産業や政府機関だ（注1）。

　電気通信業界や金融業界などにも影響が及んでいる。

　特別に作成されたMicrosoft Word文書を利用して「CVE-2023-36884」というゼロデイ脆弱性を悪用した攻撃だ（注2）。

NATOのサミットも標的に

　2023年6月、攻撃者は偽のOneDriveローダーを使用してフィッシングキャンペーンを開始し、RomComに類似したバックドアを配信した。これらの電子メールは、ウクライナ世界会議に関連する文句でユーザーをだますものだ。このときは、欧州と北米の防衛組織、政府機関を標的にした。

　通信機器メーカーBlackBerryの研究者によると、攻撃者はリトアニアで開催されていたNATOのサミットを標的にし（注3）、サミットへの招待状を装った電子メールを配信した。そのメールはハンガリーのIPアドレスから送信されたものだった。

　攻撃者はAdobeの製品やFamatechの「Advanced IP Scanner」、SolarWindsの「Network Performance Monitor」「Orion Platform」、KeePassの製品、Signal Technology Foundationの「Signal」などの人気のあるソフトウェアをトロイの木馬化したバージョンを使用してバックドアをインストールする。

　この攻撃者は金銭的な動機に基づいた攻撃の際に「Industrial Spy」ランサムウェアを使う（注4）。このランサムウェアは2022年5月に初めて発見されたものだ。

　「組織は全てのOfficeアプリケーションによる子プロセスの生成をブロックすべきだ」とMicrosoftは述べる（注5）。

　なお、Microsoftによれば「Microsoft Defender for Office 365」の最新版を利用している場合は、「CVE-2023-36884」を用いた攻撃を検出できるという。

出典：RomCom uses Word documents in new phishing campaign, Microsoft warns（Cybersecurity Dive）

注1：Storm-0978 attacks reveal financial and espionage motives（Microsoft）

注2：CVE-2023-36884 Detail（National Institute of Standards and Technology）

注3：RomCom Threat Actor Suspected of Targeting Ukraine's NATO Membership Talks at the NATO Summit（BlackBerry Blog）

注4：Technical Analysis of Industrial Spy Ransomware（Zscaler）

注5：Attack surface reduction (ASR) rules reference（Microsoft Learn AI Skills Challenge）