Microsoft Word Intruder (MWI): 新しい Word ドキュメント エクスプロイト キット脅威調査

new word 1 news

Microsoft Word の脆弱性を悪用する悪意のあるドキュメントを作成するために使用されるツールは、現在アンダーグラウンド フォーラムで宣伝されており、キャンペーンの効果を追跡する機能を提供する 1 つの新しいツールが登場しました。ビルダーである Microsoft Word Intruder (MWI) は、標的型攻撃で使用される「APT」ツールとして宣伝されています。オペレーターがさまざまなキャンペーンを追跡できるようにする「MWISTAT」と呼ばれる統計パッケージが付属しています。

著者によると、MWI をスパムと組み合わせて使用することは禁止されており、これを無視した場合、ライセンスが取り消されるリスクがあります。さらに、作成者はツールを特定の数の顧客にのみ販売しています。これは、従来のサイバー犯罪者が「APT」という用語を採用し、レーダーの下にとどまるために大量のスパムを回避する必要性を理解していることを示しています。

バックグラウンド

従来、無差別なスパムや「ドライブバイ」キャンペーンは、Internet Explorer などの一般的なブラウザや、Java、Flash、Adobe PDF などのプラグインを標的とするエクスプロイト キットを使用して、さまざまなマルウェアを拡散してきました。しかし、最初にAPT 活動に関連付けられた Microsoft Word のエクスプロイト (CVE-2012-0158) は、2013 年にスパム キャンペーンで使用し始めた従来のサイバー犯罪者の手に渡りました。

ブラウザ エクスプロイト キットと同じように、MWI では、オペレータが複数のキャンペーン、コンバージョン率 (成功したエクスプロイト)、および被害者に関する情報を追跡できるようになりました。この情報には、被害者の IP アドレス、地理的な場所、被害者のシステムで見つかった脆弱な Office ソフトウェアのバージョンが含まれます。これにより、サイバー犯罪者はキャンペーンを追跡して配布方法を微調整し、キャンペーンの全体的な効果を高めることができます。

マイクロソフト ワード イントルーダー / MWISTAT 2.0

MWI は、悪意のある Word ドキュメントを作成する「ビルダー」です。これは「Objekt」によって開発され、2013 年 5 月から「最も信頼性が高く、ユニバーサルな .doc エクスプロイト パック」としてフォーラムで宣伝されました (ただし、以前はプライベート バージョンが利用可能だった可能性があります)。ビルダーの価格は、2000 ~ 3500 ドルです。 MWI 4.0 の最新バージョンには、次のような複数のエクスプロイトが含まれていると宣伝されています。

  • CVE-2010-3333
  • CVE-2012-0158
  • CVE-2013-3906
  • CVE-2014-1761

MWI は、標準的なスパム キャンペーンではなく、「APT」スタイルの標的型攻撃に関与しようとしている人向けに販売されています。

new word 1

新しい単語 1a

“MWI: 完全な APT 版 (2013 年 10 月 31 日更新)
標的型攻撃用の製品 (「MWI: フル APT エディション」) を購入済みのすべてのユーザーは、2013 年 10 月 31 日からの無料アップデートを参照することをお勧めします。このアップデートは、新しい機能に驚かされることでしょう。”

図 1. 標的型攻撃用にアドバタイズされた MWI。

実際、MWI ビルダーの販売条件の 1 つは、MWI がスパム キャンペーンで使用された場合にライセンスが取り消される可能性があることです。著者は、別の製品がスパムに使用されていると説明していますが、現時点では無期限に停止されています.

新しい単語 2

「私たちのルールによれば、ターゲットを絞ったエクスプロイトを使用したスパムは、ライセンスの喪失および/または将来のクリーンアップと更新につながることに注意してください (まだそのような事件は発生しておらず、部分的に一線を越えたのは 1 人だけです。スパムの場合は別の解決策が存在するため (現時点では、サービスは不確定な時間停止されています)、標的型エクスプロイトが必要なタスクをすぐに明らかにする必要があります。スパムのエクスプロイトの作成も、限られた数のユーザー向けに設計されています。」

図 2. MWI はスパムには使用されません。

MWISTAT

MWISTAT は 2014 年 12 月にリリースされ、MWI ビルダーのユーザーがキャンペーンを追跡できるようにするパッケージです。

新しい単語 3

「追加のエクスプロイト機能を追加しました。これにより、統計 Web サーバー「MWISTAT」を使用して、ドキュメントが開かれた時刻と時刻、.exe ファイルがダウンロードされた場所、IP アドレスなどの追加情報をログに記録できます。ユーザーエージェントとして。」

図 3. MWISTAT のリリース

ビルダーを入手することはできませんでしたが、同じく「Objekt」によって開発された MWISTAT 2.0 パッケージのソース コードを見つけることができました。

MWISTAT ソースコード
図 4: MWISTAT ソース コード

MWISTAT は、MWI ビルダーによって生成された悪意のある Word ドキュメントが開かれたときに被害者のコンピューターから行われた要求を受信するために、サーバーにインストールされる PHP パッケージです。 MWISTAT は、被害者のコンピュータからの最初のビーコン内の ID 番号をチェックし、その ID に関連付けられた特定のマルウェアを被害者に提供します。これにより、オペレーターは複数のキャンペーンを追跡し、統計を生成し、被害者に関する情報を収集できます。 ID 番号が存在しない (または間違った ID 番号が指定された) 場合、リクエストは疑わしいとフラグが立てられます。

MWISTAT「ファイル」ビュー
図 5: MWISTAT の「ファイル」ビュー

「FILES」ビューにより、オペレーターは新しいマルウェア ペイロードをサーバーにアップロードできます。 URL は悪意のある Word 文書に埋め込まれ、それを開くと被害者のコンピュータは指定された URL に接続します。アップロードされた各マルウェア ペイロードには、10000000 から 99999999 までのランダムな ID 番号が割り当てられます。オペレーターは、ID 番号を使用してさまざまなキャンペーンを追跡できます。

MWISTATS「ログ」ビュー
図 6: MWISTATS の「ログ」ビュー

「LOGS」ビューには、サーバーに対して行われた各リクエストの詳細が表示されます。悪意のあるドキュメントが開かれると、埋め込まれた ID を含む最初のリクエストがサーバーに送信されます。この接続は、「OPEN」としてサーバーに記録されます。

初期 MWI ビーコン
図 7: 初期 MWI ビーコン

サーバーは JPG で応答します。これに続いて、マルウェア ペイロードのダウンロードを開始する「 &act=1 」が追加された同じ URI を含む 2 番目の接続が続きます。

2 番目の MWI ビーコンと EXE のダウンロード
図 8: 2 番目の MWI ビーコンと EXE のダウンロード

このリクエストはサーバーに「LOAD」として記録されます。これは、ペイロードが被害者に正常に送信されたことを示します。

MWISTAT「STATS」ビュー
図 9: MWISTAT の「STATS」ビュー

「STATS」ビューでは、すべてのキャンペーンまたは個々のキャンペーンの統計を表示できます。オペレーターは、「OPENED」の悪意のあるドキュメントの数、「LOADED」のペイロードの数、および「SUSPICIOUS」とラベル付けされた接続を表示できます。

MWISTAT の作成者は、「疑わしい」ラベルは、ハッキングの試み、ウイルス対策会社、研究者、およびその他の「望ましくない」ものを検出するためのものであると説明しています。

「オブジェクト」による「SUSP」ラベルの説明

「オブジェクト(ボット)」による「SUSP」ラベルの説明
図 10: 「オブジェクト」による「SUSP」ラベルの説明

このビューでは、オペレーターは個々の IP アドレスと関連する統計も確認できます。

新しい単語 10a

「TOOLS」ビューには、WHOIS で IP アドレスを検索するための簡単なフォームが表示されます。これにより、IP アドレスが属するネットワークと国に関する情報が提供されます。

新しい単語 10b

また、悪意のある Word ドキュメントを開くために使用された Microsoft Office のバージョンに関する情報も表示する、MWISTAT 2.0a の新しいバージョンのソース コードも発見しました。

野生で

2014 年 12 月を通して、アクティブなキャンペーンに接続された 3 台のサーバーで MWISTAT を観察しました。サーバーのうち 2 台は 1 つのキャンペーンに関連付けられているようです。ただし、3 番目のサーバーとの重複はありません。最初の 2 つを「クラスター 1」に、2 つ目を「クラスター 2」にグループ化しました。

MWISTAT クラスタ 1

MWI を標的型攻撃に使用するという規定があるにもかかわらず、最初のクラスターに関連する悪意のある Word ドキュメントがスパムを介して拡散されています。電子メールは、正当な企業からのものであるかのように偽装され、ホリデー ショッピングの割引やプロモーションなどのトピックを宣伝することがよくあります。

件名: missguidedau.com のプロモーション コード。
From: あなたの myshopping.com.au <promo@misguidedau.com>
返信先: discount@misguidedau.com

件名: プロモーション コード boohoo.com .
差出人:forever21.com <manager@forever21.com>
返信先: <manager@forever21.com>

件名: あなたのプロモーション コード best buy.ca .
差出人:forever211.com <manageripromo@forever211.com>
返信先: <manageripromo@forever21.com>

件名: クラフトフーズから 10 ドルのクーポンを提供しています
差出人: Ngweelam <hireamaeukoq@engineer.com>

件名: こんにちは!ギフトを贈りました。住所を確認してください。
From: ジェシカ <jesica.larson@hotmsi.com>

電子メールには悪意のある Word 文書が添付されており、開くと MWISTAT サーバーに接続して悪意のあるペイロードをダウンロードします。

ドキュメント MD5 サーバ ファイル名 ID
453f48485edd90d1ab2a3063682931d6 81.17.19.134 詳細.doc 64440521
662ebfa5e7f5f46a0ab2b4d71eab82a3 81.17.19.134 64440521
e215dd49ee49ecfe40ada964d23c8462 81.17.19.134 詳細.doc 64440521
8d1f47f61f68b1e302f67c6ab2c92447 81.17.19.134 446666745
fb9954f4dcdc79f03eddad51ac05ff39 81.17.19.134 詳細.doc 92998405
bb6cf9f84933839e963f6ad249fa6d01 81.17.19.134 バウチャー.doc 18816473
20a635fd5e5dade0221ccea973d518d9 185.10.57.145 割引.doc 79209229
ef820fb52eac099a16830bba5241fc26 185.10.57.145 プロモーション.doc 56006294
d252527ca044918dd9ce132022ae5afa 185.10.57.145 クーポン.doc 82087002
82af90c3854014f96fb53b1eedc2031d 217.12.201.169 情報.doc 98772089
0cf8ca4594b3b74e8f5a277935497954 217.12.201.169 98772089

ドキュメントが開かれると、MWI Web サーバーへの接続が確立され、EXE ペイロードがダウンロードされます。

ペイロード MD5 ID ペイロード C2
04a35ce286644c9e0f994cc08210a5b4 64440521 hibromineltdpromefugeline[.]com
spoptimalwwwdirectconn[.]com
megasalesoncelebrates[.]com
おもちゃゲームショップ[.]com
2248ff40fb9cae664f41e22dd9ea3c00 44666745
51f6b9cb6b80bdc45e65f9aab5668364 92998405
cd9a0148067b5526a407b10055e59b89 18816473
2248ff40fb9cae664f41e22dd9ea3c00 79209229
86d9327f232666d3ef5a302980a8b74d 56006294
1c5469f218168aed52525b234e163d6d 94064837
7b6ccb3e8a3be1834b16d4267c919213 52421746
1d9139763ef6ffe76c7444f917130a9f 92931189 おもちゃゲームショップ[.]com
adwordactivation[.]com
ftdeveloppromo[.]com
クリスマスラストセール[.]com
e10038f0ff768dbb9bffcca11b873f05 82087002
c51af8e1f336dc6aaf7df79f81d1010f 98772089 ウェブコードプレミアム[.]com
adwordactivation[.]com
ftdeveloppromo[.]com
クリスマスラストセール[.]com

追加のペイロードが185.10.57.145で見つかりましたが、対応する Word ドキュメントは見つかりませんでした。

ペイロード MD5 ID ペイロード C2
88737895ff8fed5e63b7b4b16a91c2ac 91870027 193.109.69.58

上記のペイロードはXtreme RATであり、パスワード「 1122334455 」で構成されています。

クトン語

この場合の MWI ドキュメントのペイロードは、 Kasperskyによって最近文書化された Chthonic でした。 Chthonic マルウェアは、Andromeda や Zeus と多くの類似点があり、同じソース コードの一部を共有していることを示唆しています。

Chthonic マルウェアは、実際のペイロードが実行される前に、解凍のいくつかの段階を経ます。第 1 段階のパッカーは、圧縮された実行可能ファイルをメモリに抽出する前に、基本的な分析防止チェック ( PEB.BeingDebuggedおよびPEB.NtGLobalFlag ) を実行する単純な Visual Basic パッカーです。この段階では、パックされた実行可能ファイルが PE 形式でメモリに書き込まれ、メモリから抽出またはスクレイピングできます。第 2 段階のパッカーは、RC4 および aPLib 圧縮を使用してペイロードを保護するAndromedaで使用されるパッカーと同じです。この段階では、パッカーはメモリ セグメントを作成し、再配置テーブルを適用し、インポート テーブルを設定することによって、保護された実行可能ファイルを手動でロードします。

第 2 段階のパッカーのペイロードがデコードされて実行されると、可能な分析ツールがないか環境がチェックされます。 Andromeda と同様に、これらのチェックのいずれかが成功すると、マルウェアは無限のスリープ ループに入ります。

アクション 目標
ファイルを開く C:popupkiller.exe
C:TOOLSexecute.exe
.NPF_NdisWanIp
.HGFS
.VBoxGuest
ライブラリをロードします SbieDll.dll
ミューテックスを作成します Frz_State
レジストリ パスを開く HKCUソフトウェアワイン
HKLMソフトウェアワイン
実行中のプロセス チェックサム 0x99DD4432
0x2D859DB4
0x349C9C8B
0x3446EBCE
0x5BA9B1FE
0x3CE2BEF3
0x3D46F02B
0x77AE10F7
0xF344E95D
0x2DBE6D6F
0xA3D10244
0x1D72ED91
0x96936BBE
0x5714C206
0x12C34675
0xF94B28A4

このマルウェアは主に、HTTP POST リクエストを使用して追加モジュールを取得するダウンローダーです。 POST コンテンツは最初にエンコードされ、各バイトは前のバイトと XOR されます。エンコードされたメッセージは、キー「 0F 40 7F 12 07 F3 FD 1D 80 11 8D BB 05 7E 89 01 」を使用して RC4 で暗号化されます。

最初のビーコン メッセージには、システムとマルウェア自体に関する情報が含まれています。以下は、復号化されたビーコン メッセージのサンプルです。

00000000 fb 76 e3 ff b2 e0 bb cc 30 41 72 aa 3c 1c d8 09 .v……0Ar.<…
00000010 ce a8 72 04 49 01 00 00 00 00 00 00 0c 00 00 00 ..rI…………
00000020 6f 30 ad ef f0 a0 62 36 31 86 84 61 23 8d 54 e8 o0….b61..a#.T.
00000030 21 27 00 00 00 00 00 00 04 00 00 00 04 00 00 00 !’…………..
00000040 0a 00 00 20 11 27 00 00 00 00 00 00 1f 00 00 00 … .’……….
00000050 1f 00 00 00 54 45 53 54 53 59 53 54 45 4d 31 32 ….TESTSYSTEM12
00000060 33 34 5f 37 32 33 31 37 36 38 46 33 31 31 32 44 34_7231768F3112D
00000070 31 30 41 13 27 00 00 00 00 00 00 04 00 00 00 04 10A.’……..
00000080 00 00 00 00 08 00 02 14 27 00 00 00 00 00 00 04 ……….」
00000090 00 00 00 04 00 00 00 01 00 00 00 27 27 00 00 00 ………..」…
000000A0 00 00 00 04 00 00 00 04 00 00 00 00 00 00 00 12 ……
000000B0 27 00 00 00 00 00 00 06 00 00 00 06 00 00 00 6c ‘……..l
000000C0 6f 76 65 39 61 1d 27 00 00 00 00 00 00 06 00 00 ove9a.’……..
000000D0 00 06 00 00 00 02 03 28 0a 00 00 1e 27 00 00 00 …….(….’…
000000E0 00 00 00 02 00 00 00 02 00 00 00 09 04 35 27 00 ……….5′.
000000F0 00 00 00 00 00 10 00 00 00 10 00 00 00 04 a3 5c ……..
00000100 e2 86 64 4c 9e 0f 99 4c c0 82 10 a5 b4 36 27 00 ..dL…L…..6′.
00000110 00 00 00 00 00 04 00 00 00 04 00 00 00 00 00 00 ……
00000120 00 37 27 00 00 00 00 00 00 04 00 00 00 04 00 00 .7’………….
00000130 00 01 00 00 00 38 27 00 00 00 00 00 00 04 00 00 …..8’……….
00000140 00 04 00 00 00 1a 00 00 00 ……….

メッセージ ヘッダーは、復号化された POST コンテンツの最初の 0x30 バイトです。次の表に、メッセージ ヘッダーに含まれる各フィールドの詳細を示します。

オフセット 価値 詳細
0000 fb 76 e3 … a8 72 04 ランダムバイト
0014 0x00000149 メッセージの長さ
0018 0x00000000 わからない
001C 0x0000000C ペイロードのエントリ数
0020 6f 30 ad … 8d 54 e8 メッセージペイロードの MD5
0030 21 27 00 … メッセージ ペイロード

メッセージ ペイロードは、含まれるコンテンツに基づいて情報にタグを付ける構造を使用して情報を格納します。たとえば、クライアントのソース IP は、識別子0x2721を使用して保存されます。

struct message_entry {
DWORD ID;
DWORD フラグ。
DWORD len0;
DWORD len1;
uchar エントリ [len0];
}

次の表に、ビーコン メッセージに含まれるエントリを示します。

ID 価値 詳細
2721 0x2000000a ソース インターフェイスの IP アドレス
2711 TESTSYSTEM1234_7231768F3112D10A システムのホスト名の後に、バージョン情報構造の CRC32 とシステムのインストール日の CRC32 が続きます。
2713 0x02000800 ハードコーディングされた
2714 0x00000001 ハードコーディングされた
2727 0x00000000 アクティブなプロセスのビットマップ
2712 love9a 内部値、可能なキャンペーン ID
271日 0203280a0000 OSのバージョン情報
271e 0x0409 デフォルトの言語
2735 04a35ce286644c9e0f994cc08210a5b4 インプラントの MD5 ハッシュ
2736 0x00000000 OS のメジャー バージョンが 5 よりも大きい場合、サブ機関の SID 情報が含まれます
2737 0x00000001 現在のアカウントが管理者グループにある場合は 1 に設定
2738 0x0000001a GetTickCount への 2 つの連続する呼び出し間のデルタ

サーバーからの応答は、インプラントの更新またはロードする追加モジュールの場合があります。 Kasperskyの分析によると、これらのモジュールには、システム情報の収集、保存されたパスワードの抽出、リモート アクセス (VNC) の有効化、キーストロークのログ記録のほか、侵害されたホストをプロキシ サーバーに変え、カメラを使用して写真を撮る機能が含まれています。 .さらに、攻撃者が銀行の認証情報を盗むことを可能にする Web インジェクションとフォームグラバー モジュールを発見しました。

前のアクティビティへの接続

また、 81.17.19.134facesecyrity[.]comの両方でホストされていた MWI ペイロード ( 1c5469f218168aed52525b234e163d6d ) も発見しました。これは、悪意のあるペイロードのダウンロードを追跡するために MWISTAT が使用されなかった初期のキャンペーンのようです。代わりに、ペイロードが直接ダウンロードされます。

このマルウェアは、オーストラリア人を標的にしているように見える興味深い電子メール メッセージと共に送信されました (これは、以下に示すその後の MWI キャンペーンの被害者データにも反映されています)。

オーストラリアのユーザーに向けた電子メール
図 13: オーストラリアのユーザーに向けられた電子メール

添付の ZIP ファイルに含まれる悪意のある Word ドキュメント ( 34fd939ccb914638da169fcffeef9e77、report.doc ) は、次への接続を開きます。

MWI ドキュメントは EXE をダウンロードします
図 14: MWI ドキュメントが EXE をダウンロードする

ペイロードは、MWI キャンペーンによって投下されたものと同じ Chthonic マルウェア ファミリです。

MD5 ファイル名 C2
2bfa141fa2f5c05d7d5c7282769594a6 mod2.exe metaframeworkshop.com
spoptimalwwwdirectconn.com
hibromineltdpromefugeline.com
megasalesoncelebrates.com

私たちは、同じ Chthonic マルウェアを投下した別の同様のキャンペーンも発見しました。

オーストラリアのユーザー宛ての電子メール
図 15: オーストラリアのユーザーに向けられた電子メール

添付の ZIP ファイルには悪意のある Word ドキュメント ( 603f1fcb9897e8aaf8becfc6127d40a7、Info.doc ) が含まれており、サーバーに接続してペイロードをダウンロードする代わりに、悪意のあるドキュメントに含まれるペイロードをドロップするだけです。

MD5 ファイル名 C2
a3b15ea2ceee7a1910fcc7ab3a27f03b ntxobj.exe hibromineltdpromefugeline[.]com
spoptimalwwwdirectconn[.]com
megasalesoncelebrates[.]com
おもちゃゲームショップ[.]com

MWISTAT 被害者

2014 年 12 月 12 日から 2015 年 1 月 6 日の間に、この MWISTAT キャンペーン (クラスター 1) で使用された C2 からログ ファイルを収集することができました。

このデータは、809 人のユーザーが悪意のあるドキュメントを開いたことを示しています。ただし、マルウェア ペイロードのダウンロードに成功したのは 144 人だけでした。 136 の「疑わしい」接続がありました。合計 934 個の一意の IP アドレスが MWISTAT サーバーにビーコンされました。

被害者は 43 か国にまたがっていますが、大多数はカナダ (41%) とオーストラリア (31%) に住んでいます。被害者数が 2 番目に多い国は米国 (13%) です。

国別の MWISTAT 被害者
図 16: 国別の MWISTAT の被害者

クトンの犠牲者

クラスタ 1 の MWISTAT 悪意のあるドキュメントによって投下された Chthonic ペイロードが使用する 3 つのドメインをシンクホールすることができました。このデータは、この Chthonic 活動のクラスターの一部にすぎません。 2015 年 1 月 8 日から 2015 年 1 月 13 日の間に、合計 7,962 の一意の IP アドレスがシンクホールに接続されました。これらの IP アドレスは 83 か国に分散していましたが、最も集中していたのはドイツ (30%)、カナダ (13%)、ロシア (12%) でした。

国別のChthonic犠牲者(陥没穴経由)
図 17: 国別の Chthonic の犠牲者 (陥没穴経由)

アンダーグラウンド フォーラムへの投稿に基づくと、Chthonic の開発者は他のサイバー犯罪者にバイナリを提供し、C2 インフラストラクチャを貸し出していると考えられます。したがって、この被害者の分布は、他の方法では関連のない複数のサイバー犯罪活動を表している可能性があります。

MWISTAT クラスタ 2

調査中に、上記のクラスターに関連していないように見える別の一連の MWI アクティビティが見つかりました。 「Cluster 2」キャンペーンは、受信者に悪意のある添付ファイルを開かせるために、出荷情報を装った電子メールを送信しました。

件名: TECLINK INTERNATIONALへの発送
From: Lee Hing Co. <abdulaziz@ekadacorporation.com>

添付ファイルは、悪意のあるペイロードをダウンロードするために MWI サーバーに接続された悪意のある Word ドキュメントでした。

MD5 ファイル名 ID
4adae24a22468b1516afc7e5f0f9e893 請求書 0938.doc 99120076
ab5cab6b202487caffb3e4148c1caf03 アイテムリスト.doc 52421746

この場合のペイロードは XtremeRAT (デフォルトのパスワードで構成) でした。

MD5 ID C2
5ef604525d8c268e261e9a15b461d916 99120076 bigb00.ddns[.]ネット
7b6ccb3e8a3be1834b16d4267c919213 52421746 fragment.myeffect[.]ネット

MWI パッケージの使用を超えて、この投稿に記載されているクラスター間に重複はないようです。これは、MWI が複数のアクターに販売されていることを示しています。

被害者

2014 年 12 月 12 日から 2015 年 1 月 6 日の間に、「クラスター 2」MWISTAT キャンペーンで使用された C2 からログ ファイルを収集することができました。

このデータは、597 人のユーザーが悪意のあるドキュメントを開いたことを示しています。ただし、マルウェア ペイロードのダウンロードに成功したのは 180 人だけでした。 182 の「疑わしい」接続がありました。合計 402 個の一意の IP アドレスが MWISTAT サーバーにビーコンされました。

被害者は 45 か国にまたがっていますが、大多数はベトナム (18%)、米国 (12%)、中国 (9%) に住んでいます。

国別の MWISTAT 被害者
図 18: 国別の MWISTAT の被害者

結論

技術的能力が最小限のサイバー犯罪者を含め、さまざまなサイバー犯罪者が、「Microsoft Word Intruder」などのドキュメント エクスプロイト キットを購入することで、ドキュメント エクスプロイトにアクセスできるようになりました。ブラウザ エクスプロイト キットと同様に、これらのツールを使用すると、オペレーターはさまざまなキャンペーンや被害者に関する情報を追跡して、その有効性を高めることができます。

参照: https://www.mandiant.com/resources/blog/a-new-word-document

Comments

タイトルとURLをコピーしました