善意は予期しない結果をもたらすことがあります。MSHTAはその一例です。
MSHTA(Microsoft HTML Application)は1999年のWin98 SEおよびInternet Explorer 5.0のリリース以来、Windowsの一部です。最新の現在のリリースを含め、ずっとWindowsの一部であり続けています。また、IEモードを通じてEdgeブラウザでも実行され続けています。目的はMicrosoftの下位互換性を優先するポリシーに準拠することです。
長年にわたり、MSHTAの正当な使用は減少しました。しかし、悪用は増加しています。MSHTAはますます悪質な行為者によって「Living-off-the-Land binary(LOLBIN)」として使用され、商用ステーラーやローダーからPurpleFoxなどの高度で持続的なマルウェアまで、増加するマルウェアの範囲を静かに配信しています。
今年の初めからBitDefenderは、MSHTA関連のアクティビティの劇的な増加を検出しています。同社は、これが更新された管理者による採用というより、脅威アクターの使用の増加を反映していると考えています。
MSHTA
MSHTAはHTML、VBScriptまたはJavaScriptで書かれたプログラムであるHTML Application(HTA)ファイルを実行するように設計されています。サイト外のサーバーから読み込まれたHTAファイルは、メモリでVBScriptを実行するように操作できます。ローカルサーバーは、メモリで何が起こっているのかではなく、信頼でき、MS署名付きのバイナリのアクティビティのみを確認します。その信頼と継続的な正当な使用のため、自動的にブロックするのは難しいでしょう。その結果、見えない悪意のあるコードが導入される可能性があり、そのコードはさらにLOLBINコンポーネントをダウンロードしてあぶり出し、最終的に危険なマルウェアの実装につながる可能性があります。
「MSHTAは攻撃者に、感染チェーンの初期段階または中間段階でリモートスクリプトコンテンツを取得および実行できる、組み込みのMicrosoft署名付きユーティリティを提供します」とBitDefenderは報告しています。
攻撃者は基本的なソーシャルエンジニアリングを通じてプロセスを開始します。
マルウェアの配信
BitDefenderが検出したMSHTAの一般的な悪用の1つは、HTA CountLoaderを使用してLummaおよびAmateraステーラーを配信することです。あるLummaキャンペーンでは、被害者は無料またはクラックされたソフトウェアを約束するメッセージ、ソーシャルメディアの投稿、またはSEO毒を投じたウェブサイトを通じて標的にされました。
フィッシングに成功した場合、被害者は実はPythonインタープリタであるセットアップファイルを実行し、Pythonランタイムをロードします。ダウンロードされた「フリーソフトウェア」アーカイブには、攻撃者のC2に接続してHTAローダーを取得するために必要なすべてのスクリプトとMSHTA実行可能ファイルが含まれています。
HTAは次のペイロードをデコードして起動します。これはステーラーをダウンロードして実行します。
Emmhentalローダーも、Lummaおよび他のステーラーの配信で観察されました。このキャンペーンはDiscordを経由したフィッシングメッセージで始まりました。被害者は、クリップボードをハイジャックするように設計されたページにアクセスするようにだまされ、偽の人間検証プロセスの一部として悪意のあるコマンドラインを実行するようにユーザーをだまされます。ユーザーがWin + Rを押して実行ダイアログを開き、その後Ctrl + VとEnterを押してコマンドをペーストして実行するようにさらにだまされた場合、explorer.exeは正当にMSHTAを起動しているようです。
最終的に、PowerShellスクリプトはリモートロケーションからダウンロードされ、スクリプトをディスクに保存せずにメモリで実行されます。
他のMSHTA駆動キャンペーンには、ClipBankerおよびPurpleFoxの配信が含まれていました。ClipBankerは、クリップボード内のウォレットアドレスを置き換えて暗号通貨を盗むことを目的とした主なマルウェアファミリーです。「この感染チェーンでは、MSHTAはリモートHTAを起動して、PowerShellベースの永続化とペイロード配信にすばやく移行する初期段階の実行メカニズムとして使用されています」とBitDefenderは説明します。
PurpleFoxは、2018年以来アクティブである、より高度で持続的なマルウェアファミリーです。「しかし、その長年の配信方法の1つは一貫したままです。.pngファイルに偽装されたMSIパッケージをダウンロードして実行するために、MSHTAコマンドラインからmsiexecを起動します」とBitDefenderは言います。
報告書はIOCの詳細を提供していますが、ソーシャルエンジニアリングはMSHTA悪用の重要な部分であることは明らかです。ただし、その悪用の増加もソーシャルエンジニアリングが依然として効果的であることを示しています。
「このタイプの攻撃に対する主な防御はユーザーの認識です」と、BitdefenderのセキュリティアナリストであるSilviu Stahie氏は述べています。「ターミナルやPowerShellなどでコマンドを実行するのを止めるようにユーザーに納得させることができれば、ほとんどの問題を解決できます。クラックされたアプリケーション、海賊版ゲームのダウンロードも同じです。このように感染する可能性は高いです。これらの攻撃に引っかかるのをやめるだけで、次の日に90%以上の攻撃が止まると思います。」
MSHTA悪用に対する防御は明らかにユーザー認識トレーニングを含むべきですが、技術的な緩和策も重要です。「保護は攻撃サーフェスの削減から実行前の検出と実行時の動作ブロッキングまで、攻撃チェーンの複数のポイントをカバーする必要があります」と研究者は警告しています。
「組織については」とStahie氏は続けて、「すべてのレガシーバイナリをブロックするのがデフォルトのスタンスであるべきです。MSHTAへのアクセスがまだ必要な重要なアプリケーションがない限り、ユーザーはアクセスすべきではありません。ファイアウォールでブロックすべきです。」
翻訳元: https://www.securityweek.com/legacy-windows-tool-mshta-fuels-surge-in-silent-malware-attacks/
