見た目には無害なSVGに、攻撃者が制御するURLへのフィッシングリダイレクト用の悪意あるJavaScriptが詰め込まれている。
脅威アクターは、従来の悪意あるリンクやドキュメントマクロを使ったフィッシング手法から、ステルス性の高いブラウザリダイレクトを仕込んだ一見無害な画像ファイルへと手法をシフトしている。
Ontinueの発見によると、最近のキャンペーンでは、通常は無害な画像フォーマットであるSVG(Scalable Vector Graphics)が使われ、難読化されたJavaScriptが密かに悪意あるドメインへと被害者をリダイレクトしている。
「これは、画像ファイルを疑わしいコンテンツ配信に使う手法の新しいバリエーションで、今回は悪意あるSVGが使われています」とBambenek ConsultingのJohn Bambenek氏は述べている。「攻撃者は“ただの画像でコードは実行されない”という油断に頼り、組織がこのコンテンツを受け入れてネットワーク内部に取り込むよう仕向けています。」
「ToDoList」「不在着信」「支払いリマインダー」などのソーシャルエンジニアリング誘導を使うこれらのキャンペーンは、追加のダウンロードやクリックを必要とせず、スクリプトが被害者のブラウザ内で自動的に復号される。
巧妙なSVGの配信手法
Ontinueの研究者によると、最初の侵入は偽装やなりすましのメール送信者を通じて行われ、悪意あるSVGが直接ファイル添付として、または一見無害に見える外部ホスト画像へのリンクとして配信される。
「防御側は、コードとコンテンツの従来の区別を捨てるべきです」とSectigoのシニアフェロー、Jason Soroko氏は述べている。「すべての受信SVGを実行可能ファイルと見なし、スクリプトタグを除去またはブロックしてください。」
SVGはXOR暗号化されたJavaScriptを使用しており、ブラウザで表示されると復号され、Base64エンコーディングによる被害者追跡付きで攻撃者が制御する最終URLへリダイレクトされる。一般的なマルウェアと異なり、ファイルのドロップやマクロの実行はなく、純粋にブラウザネイティブで実行される。こうしたステルスな配信は、DomainKeys Identified Mail(DKIM)の未設定や、Domain-based Message Authentication, Reporting and Conformance(DMARC)ポリシーの緩さといった、メール認証プロトコルのセキュリティ設定ミスにより可能となっている。
「この研究は企業やハンティングチームにとって有用ですが、セキュリティ担当者がいない組織はこの手法による従来型サイバー犯罪に引き続き脆弱です」とBambenek氏は付け加え、こうした管理を監督する専任チームの必要性を強調した。
革新的で回避的、かつ標的型のキャンペーン
研究者らは指摘している通り、従来のエンドポイント検知やウイルス対策ツール、メールフィルターでこの脅威を見抜くのは困難だ。なぜならSVGのような画像ファイルはほとんど危険と見なされないからだ。従来のSVGベース攻撃がホスト型ペイロードを使っていたのに対し、この手法はすべてを自己完結させ、防御をさらにすり抜けている。
被害者はB2Bサービスプロバイダー、公益事業、SaaS企業など、日常的に大量のメール添付を受け取る組織に及ぶ。さらに標的を絞るため、キャンペーンではジオフェンシングを使い、地域ごとに攻撃をカスタマイズしていると研究者は付け加えている。
Ontinueの研究は、なりすましメールをブロックするためにSPF、DKIM、DMARCの徹底や、SVG添付ファイルのブロック・サニタイズを推奨している。受信ファイルのディープコンテンツ検査や、Microsoft DefenderのSafe Links、Safe Attachments、ZAPなどの保護機能の有効化も有効だろう。Soroko氏もOntinueのガイダンスに賛同し、積極的な防御の必要性を強調した。「厳格なDMARC整合性の徹底と疑わしいメールの自動削除を実施してください。画像プレビューから発生するwindow locationの変更によるブラウザピボットを検知するためのテレメトリを導入しましょう。Safe Linksによるコンテンツ無害化や類似ドメイン監視などの多層的な制御は、攻撃者が頼る単純な経路を断ち切ります。」
ニュースレターを購読する
編集部からあなたの受信箱へ
下にメールアドレスを入力して開始してください。