Microsoft は、Microsoft 365 のお客様向けに XLL アドイン保護を追加する作業を進めており、インターネットからダウンロードされたすべてのファイルを自動的にブロックします。
これは、この感染ベクトルを悪用するマルウェア キャンペーンの増加に対処するのに役立ちます。
「ここ数か月で増加するマルウェア攻撃に対抗するために、インターネットからの XLL アドインをブロックする対策を実施しています」と Redmond 氏は述べています。
Microsoft によると、この新機能は 3 月に世界中のマルチテナントで、Current、Monthly Enterprise、および Semi-Annual Enterprise チャネルのデスクトップ ユーザー向けに一般提供される予定です。
攻撃者は、フィッシング キャンペーンでXLL アドイン(Excel DLL) を使用して、さまざまな悪意のあるペイロードを、ビジネス パートナーなどの信頼できるエンティティからのドキュメントや偽の広告リクエスト、ホリデー ギフト ガイド、Web サイトのプロモーションとして偽装したダウンロード リンクまたは添付ファイルの形式でプッシュしています。 .
ターゲットが署名されていない XLL ファイルをダブルクリックして開くと、「潜在的なセキュリティ コンテンツ」、「アドインにはウイルスやその他のセキュリティ上の問題が含まれる可能性がある」という警告が表示され、アドインを有効にするように求められます。現在のセッション。
アドインがアクティブ化されている場合 (そして、多くの人が Office の警告を無視して無視している場合)、バックグラウンドで被害者のデバイスにマルウェア ペイロードを展開します。
XLL ファイルは実行可能ファイルであり、攻撃者はそれらをさまざまな悪意のあるタスクに使用できるため、信頼できるソースからのものであることが 100% 確実な場合にのみ開く必要があります。
さらに、このようなファイルは通常、電子メールの添付ファイルとして送信されるのではなく、Windows 管理者によってインストールされます。したがって、そのようなファイルをプッシュする電子メールまたはその他のメッセージを受信した場合は、メッセージを削除してスパムとして報告してください。
Cisco Talos が 1 月のレポートで述べたように、XLL は現在、金銭目的の攻撃者と国家が支援する脅威グループ ( APT10 、 FIN7 、 Donot 、 TA410 ) の両方によって、第 1 段階のペイロードを標的のデバイスに配信するための感染ベクトルとして使用されています。 .
「XLL アドインがしばらく存在していたとしても、一部の APT グループが完全に機能するバックドアを実装するためにそれらを使用し始めた 2017 年半ばまで、悪意のあるアクターによるその使用を検出できませんでした」と Cisco Talos は述べています。
「また、感染ベクトルとして XLL を採用するコモディティ マルウェア ファミリが増えるにつれて、その使用が過去 2 年間で大幅に増加したことも確認しました。」
1 年前、HP の脅威アナリスト チームは、2021 年第 4 四半期の脅威インサイト レポートの一部として、「Excel アドイン (.XLL) を使用する攻撃者が 6 倍近く急増」したことを報告しました。
これは、攻撃者が悪意のある Office ドキュメントを使用して標的のコンピューターにマルウェアを配信およびインストールするのを阻止するための、より広範な取り組みの一環です。
2022 年 7 月以降、Microsoft は、ダウンロードした Office ドキュメントでOffice VBA マクロが自動的にブロックされ、いくつかの Office アプリ (Access、Excel、PowerPoint、Visio、および Word) でインターネットからダウンロードしたドキュメントで有効にすることが難しくなると述べました。
2021 年 3 月、同社は M365 にXLM マクロ保護を追加し、Office 365 と Antimalware Scan Interface (AMSI) の統合によって提供されるランタイム防御を拡張して、Excel 4.0 (XLM) マクロ スキャンを含めました。
Redmond は、2021 年 1 月に Microsoft 365 テナントで開かれたときに、Excel 4.0 (XLM) マクロを既定で無効にすることを開始しました。
数年前の 2018 年に、Microsoft は AMSI のサポートを Office 365 アプリにも拡張し、VBA マクロを使用した攻撃から顧客を防御しました。
Comments