- Group-IBがマクロベースのフィッシングキャンペーンをイランの脅威アクターMuddyWaterに関連付け
- 攻撃者は偽のメールとWord文書を使い、Phoenix v4や他のマルウェアを展開
- 2022年以降マクロがブロックされているにもかかわらず、古い手法が依然として使われている
2025年10月になっても、いまだに一部のサイバー犯罪者はマルウェアをMicrosoft Wordのマクロを通じて配布しようとしている、と専門家は警告しています。
最近、セキュリティ研究者のGroup-IBは、新たなサイバースパイ活動を発見しました。この攻撃は乗っ取られたメールアカウントから始まり、脅威アクターがこれを使ってフィッシングメールを配信していました。これらのメッセージは世界各地の国際組織を標的にしており、本物のやり取りを装うことで、被害者がメールを開く確率を高めていました。
メッセージには悪意のある添付ファイルも含まれており、それはMicrosoft Word文書でした。これを開くと、被害者にマクロの有効化を促します。有効化すると、マクロが埋め込まれたVisual Basicコードを実行し、最終的にPhoenix v4バックドアが展開されます。
マクロは死んだ、だがマクロ万歳!
バックドアによくあるように、Phoenix v4は攻撃者にリモートコントロールを提供し、高度な永続化メカニズムも備えています。攻撃者はさらに、さまざまなリモート監視および管理(RMM)ツール(PDQ、Action1、ScreenConnect)や、Chromium_Stealerという情報窃取型マルウェアも展開しており、これはChrome、Edge、Opera、Braveからブラウザデータを盗み取ることができます。
2022年半ばまで、マクロ有効化されたOffice文書は世界中のフィッシングハッカーにとって最も一般的な攻撃手法でした。
しかし2022年半ば以降、Word(およびExcel、PowerPoint、Access、Visio)はダウンロードやメールで受信したファイルに対して、インターネット由来(つまり「Mark of the Web」付き)の場合、デフォルトでマクロをブロックするようになり、脅威アクターは他の形式へと移行せざるを得なくなりました。
この日を境に、マクロ有効化Officeファイルを使ったフィッシング誘導は事実上消滅しました。
Group-IBはこのキャンペーンをイラン政府支援の脅威アクターMuddyWaterに帰属させています。皮肉なことに、このキャンペーンは政府機関が古い技術や手法を使い続ける傾向があること、そしてハッカーでさえその例外ではないことを改めて証明しています。
研究者によると、過去のMuddyWater攻撃で見つかったコードが今回のものと重複しているとのことです。ドメインインフラやマルウェアサンプル、標的パターンもすべてMuddyWaterを指し示しています。
