脅威アクターは、レガシーなWindows管理ツールであるMSHTAを、侵害されたホスト上で悪意のあるスクリプティングアーキテクチャを実行するための非常に効率的な手段として、ますます悪用しています。本来はInternet Explorerの全盛期に設計されたこの永続的な運用コンポーネントは、現代のWindows環境に埋め込まれたままであり、敵対者に、現代のセキュリティベースラインによって論理的に制約されるべき低レベルのサブシステム機能への制限されないアクセスを与えています。
1999年に導入されたMSHTAは、HTML、VBScript、またはJScriptでコンパイルされたHTMLアプリケーション(HTA)構造を解釈するように設計されました。Internet Explorerは永遠に廃止されていますが、mshta.exeバイナリは企業環境全体に残存しており、特に現代のWebブラウザによって特徴的に実施される高度なサンドボックス化の軽減策を著しく欠いています。Bitdefenderによってリリースされたテレメトリデータによると、最近の運用サイクルでは、マルウェア配信、認証情報の窃取、リモートスクリプトオーケストレーションに最適化された複雑な攻撃チェーン内でのこのユーティリティの積極的な復活が目撃されています。
MSHTAはClickFixソーシャルエンジニアリングキャンペーンの戦術的枠組み内で著しく現れており、ここでは受害者はソフトウェア検証プロトコル、無料コンテンツインストール、またはファイルアクセスリクエストの名目の下で、ローカルなシステムコマンドをコピーして実行するよう操られます。この特定の手口は、不正なDiscord通信と基本的なインターネットユーティリティを装った欺瞞的なWebドメイン上で体系的に現れてきました。これらのドメインは正当なインフラストラクチャに密接に類似している一方で、google-servicesやmemory-scannerなどの命名法を利用しており、.ccなどの異常なトップレベルドメイン(TLD)への依存は、侵害の重大な指標として機能しています。
Bitdefenderは、MSHTAのこの体系的な悪用をCountLoaderステージングフレームワーク経由のLummaStealerおよびAmateraの情報窃取亜種の配信と相関させています。同時に、別のキャンペーンはEmmenhtal Loaderをデプロイしました。これはMSHTAを活用してリモートHTAペイロードを取得および実行し、その後の高重大度感染段階をブートストラップします。さらに、このユーティリティはClipBankerの配信メカニズムに統合されています。ClipBankerは、システムクリップボード内の暗号通貨の宛先アドレスを動的に操作するように設計されたインプラントであり、PurpleFox rootkit系統に関連する永続的なデプロイメント行列と並んでいます。
一部のレガシー企業ソフトウェアスイートがこのコンポーネントに対する運用上の依存関係を維持している一方で、MSHTA呼び出しの一括的な分類を本質的に悪意のあるものとして実行することは問題となるため、Bitdefenderはこのユーティリティを無防備な攻撃サーフェスとして確実に特徴付けています。セキュリティアーキテクトは、可能な限り、アクティブなビジネスワークフロー内でMSHTAパラメータをフェーズアウトし、非認可することを強く促されています。
究極的には、mshta.exeの分離または削除は万能薬として機能することはできません。これらの侵入の有効性は、高度なソーシャルエンジニアリング、コマンドライン破壊、スクリプト実行のセキュリティギャップ、および初期ユーザーアクション後のダウンストリームアセットの多段階ダウンロードに包括的に依存しています。その結果、最適化された防御的姿勢は、分離されたバイナリの封じ込めを超越し、代わりに厳格なスクリプト実行制限と組み合わせたリアルタイム行動エンドポイント分析を通じて敵対的なライフサイクル全体を中立化するために進化する必要があります。
