Microsoft Office ドキュメントを脅迫して LokiBot マルウェアを投下

中国の APT 攻撃やパッチ チューズデーでの悪用されたゼロデイへのパッチ適用など、Microsoft にとって重要なイベントが目白押しのこの 1 週間に、研究者らは、実行時にLokiBot マルウェアを解き放つ悪意のある Microsoft Office ドキュメントの複数のインスタンスを観察し、驚くべき発見をしました。ターゲットのシステムにインストールします。このマルウェアはシステムに侵入することで被害者を深刻に脅かし、不正アクセスやデータ盗難につながる可能性があります。

CVE-2021-40444 (CVSS 7.8) および CVE-2022-30190 (CVSS 7.8) というよく知られた脆弱性を悪用し、脅威となる Microsoft Office ドキュメントが悪名高い LokiBot マルウェア侵入のゲートウェイとなっています。これらの脆弱性に対するパッチは 1 年以上前から利用可能であったにもかかわらず、攻撃者はパッチが適用されていないシステムを悪用しました。

ロキボットとは何ですか?

LokiBot は、2015 年から知られている長期にわたる情報窃取型トロイの木馬で、Windows プラットフォームに焦点を当てており、侵害されたマシンから貴重なデータを抽出しようとしています。脅威環境においてその存在が継続的に存在することは、進化するサイバー脅威から防御するために堅牢なセキュリティ対策を維持することの重要性を浮き彫りにしています。

LokiBot は、有害な技術を組み合わせて有害な活動を実行します。複数の脆弱性を利用し、Visual Basic for Applications (VBA) マクロを使用して攻撃を開始します。さらに、LokiBot には、検出と分析の回避を支援する Visual Basic インジェクターが組み込まれています。このインジェクターを利用することで、マルウェアは特定のセキュリティ対策を回避することができ、ユーザーにとって恐ろしい脅威となります。これらの高度な技術を利用できる LokiBot の機能は、堅牢なセキュリティ対策を実装し、進化するサイバー脅威に対して警戒を続けることの重要性を浮き彫りにしています。

注意の誤り

研究者らは、Office 文書や見慣れないファイル、特に外部 Web サイトへのリンクを含むファイルを扱う場合は、注意を払い、慎重なアプローチを採用するよう強くアドバイスしています。彼らは、警戒を怠らず、不審なリンクをクリックしたり、信頼できないソースからの添付ファイルを開いたりしないことの重要性を強調しています。さらに、マルウェア悪用のリスクを軽減するには、最新のセキュリティ パッチを適用してソフトウェアとオペレーティング システムを最新の状態に保つことが重要です。

これらの既知の脆弱性は、エンド ユーザーをターゲットとする古典的なソーシャル エンジニアリング手法を悪用するため、重大な課題を引き起こします。攻撃者は魅力的な添付ファイルに依存しており、無防備なユーザーや保護が不十分なユーザーが添付ファイルを開いてくれることを期待しています。これは、ユーザーが潜在的な脅威を認識して回避できるようにするための、強力なサイバーセキュリティの意識と教育の必要性を浮き彫りにしています。

幸いなことに、Microsoft はこの問題に対処し、解決策を提供するために積極的な措置を講じており、セキュリティ チームがエンドポイント保護製品を最新の状態に保つ必要性を強調しています。

リモートでコードが実行される脆弱性を常に脅威レベルの最優先事項として扱うことが重要です。侵害の痕跡を徹底的に調べ、初期調査を実施して脆弱性が影響しているかどうかを確認することをお勧めします。このプロアクティブなアプローチにより、組織は潜在的な影響を迅速に特定し、軽減することができます。

LokiBot のこの新しいパッケージの出現は、その検出を回避し、その活動を隠蔽し、機密データを侵害する可能性があるため、深刻な懸念を引き起こします。これに対処するには、組織は単に Microsoft Office の使用を中止するのではなく、システムを保護し続けるための措置を優先する必要があります。これには、パッチとマルウェア対策シグネチャを定期的に更新することや、Office ドキュメントを扱う際に注意を払うようにユーザーを教育することが含まれます。これらの事前対策を講じることにより、組織は防御を強化し、そのような有害な活動の犠牲になるリスクを最小限に抑えることができます。

Microsoft Office ドキュメントを脅迫して LokiBot マルウェアを投下スクリーンショット