HTML 密輸手法は、初期アクセスを取得し、バンキング マルウェア、リモート管理用トロイの木馬 (RAT)、ランサムウェア ペイロードなどのさまざまな脅威を展開する手段として、フィッシング キャンペーンで攻撃者によって使用されることが増えています。
Microsoft 365 Defender Threat Intelligence チームは木曜日に新しいレポートをリリースし、その中で現在蔓延しているバンキング型トロイの木馬 Mekotio を発見したと発表しました。非同期RAT、nnJCバックドア、および悪名高い TrickBot マルウェアの侵入。 2021 年 7 月、Menlo Security もこの疑惑を公に文書化しました。アイソモーフ多段攻撃。
HTML 密輸は、攻撃者が最新の Web ブラウザの脆弱性や設計上の欠陥を悪用するのではなく、HTML5 と JavaScript の基本機能を悪用することによって、被害者のマシンに第 1 段階のドロッパーを「密輸」できるようにする手法であり、通常は悪意のあるスクリプトを埋め込む攻撃手法です。慎重に作成された HTML 添付ファイルまたは Web ページで。
このようにして、攻撃者は JavaScript を使用して、Web サーバー上のリソースを取得するための HTTP リクエストを行わずに、プログラムによって HTML ページ上にペイロードを構築することができ、また、一部のセキュリティ製品のブロックを回避することもできます。
「被害者が Web ブラウザで HTML を開くと、ブラウザは悪意のあるスクリプトを自動的に解析し、ホスト デバイス上でペイロードを組み立てます」と研究者は述べています。説明する。 「そのため、攻撃者は悪意のある実行可能ファイルをネットワーク経由で直接通過させるのではなく、ファイアウォールの内側でローカルにマルウェアを構築しているのです。」
研究者らは、「被害者がWebブラウザでHTMLを開くと、ブラウザが自動的に悪意のあるスクリプトを解析し、被害者のデバイス上でペイロードを実行する」と述べた。
したがって、攻撃者は、悪意のある実行可能ファイルでネットワーク経由でターゲットを直接攻撃するのではなく、ファイアウォールの内側でローカルにマルウェアを構築することでターゲットを攻撃することができます。
Microsoft は、HTTP 密輸は Web プロキシや電子メール ゲートウェイをバイパスできるため、多くの「国家部隊」やサイバー犯罪グループが現実世界の攻撃でマルウェアを拡散する効率的な方法になっていると指摘しています。
今年 5 月初め、ある組織は SolarWinds のサプライ チェーンが不正であると主張しました。ハッカーその背後にある脅威グループである Nobelium が、この珍しい攻撃手法を使用して、米国を含む 24 か国の政府機関、シンクタンク、コンサルタント、非政府組織をターゲットにしていることが判明しました。
スパイ行為に加えて、HTML 密輸は、Mekotio Trojan が関与する銀行マルウェア攻撃でもよく使用されます。攻撃者は、悪意のあるリンクを含むスパムメールを送信し、被害者がクリックすると、ZIP ファイルのダウンロードがトリガーされ、その中に JavaScript ファイルが含まれます。資格情報の盗難やキーロギングの可能性があるバイナリを取得するダウンローダー。
しかし、他の攻撃者が HTML 密輸を武器に組み込んでいるという兆候もあります。9 月には、DEV-0193 が後援する電子メール キャンペーンが、同じ方法を悪用して TrickBot を配信していることが発見されました。これらの攻撃には、悪意のある HTML 添付ファイルが含まれていました。添付ファイルを Web ブラウザで開くと、パスワードで保護された JavaScript ファイルが受信者のシステム上に作成され、被害者に元の HTML 添付ファイルのパスワードを入力するように求められます。
これにより、JavaScript コードの実行が開始され、その後、攻撃者が制御するサーバーと通信する Base64 でエンコードされた PowerShell コマンドが起動され、TrickBot マルウェアがダウンロードされ、最終的には後続のランサムウェア攻撃への道が開かれます。
「電子メールキャンペーンでHTML密輸攻撃手法を使用した攻撃の急増は、攻撃者が回避効果を達成するために攻撃手法を改良し続けている一例だ」とMicrosoftは指摘した。 「この攻撃パターンは、戦術、技術、手順(TTP)がサイバー犯罪組織からAPT攻撃にどのように浸透しているかを示しています。さらに、TTPが効果的なテクノロジーと見なされ商業化される闇市場経済を強化します。」
原文、著者:CNCSO、転載する場合は出典を明記してください:https://cncso.com/jp/html-smuggling-is-frequently-used-by-hackers-in-malware-and-phishing-attachs.html
