長らく無害なオフィスの定番と見なされてきたExcel形式が、サイバー攻撃の侵入口としてますます悪用されるようになっています。この傾向の中心にあるのがXLLファイルです。XLLは特殊なExcelアドインですが、実態はネイティブのWindows DLLライブラリであり、読み込みと同時に任意のコードを即座に実行できます。まさにこの仕組みが、2025年後半にPaper Werewolfとして知られるサイバー諜報グループによって利用され、新たに確認されたバックドアを用いてロシアの組織が標的となりました。
攻撃者がXLLファイルの実験を始めたのは2010年代後半ですが、2021年以降、この形式はAPT(高度持続的脅威)グループと、Agent TeslaやDridexといった著名なマルウェア・ファミリーの運用者の双方に広く採用され、人気が急増しました。Excelの制約された環境内で動作し、セキュリティ警告も伴うマクロとは異なり、XLLアドインはコンパイル済みのWindowsコードとして直接読み込まれ、システムへの無制限のアクセス権を得ます。そのため、はるかに危険で、検知も著しく困難です。
2025年10月下旬、研究者はVirusTotalにアップロードされた不審なXLLサンプルを発見しました。これらのファイルには、「敵の計画目標.xll」や「敵の計画目標 実行禁止.xll」といった、明確にロシア語のタイトルが付けられており、内部文書を装って防御側の警戒を招きにくくする意図があったとみられます。これらのXLLファイルには攻撃の第2段階が埋め込まれており、後にEchoGatherと名付けられた、これまで文書化されていなかったバックドアでした。
Excelアドインが読み込まれても、悪性コードは直ちには起動しません。代わりに、Excelのスレッドの1つが終了するという異例のタイミングでトリガーされ、初期実行段階に注目する振る舞い検知をすり抜けます。その後、実行可能なペイロードが被害者のマシンにひそかにドロップされ、詳細なシステム情報の収集を開始し、C2(コマンド&コントロール)サーバーとの通信を確立します。
EchoGatherは、IPv4アドレス、OSの種類とアーキテクチャ、コンピューターのNetBIOS名、ユーザー名とワークステーションのドメイン、プロセス識別子、実行ファイルのパス、そして「1.1.1.1」とラベル付けされた固定のバージョン文字列など、幅広いデータを収集します。これらの情報はBase64でエンコードされ、数分おきの定期的な間隔で制御サーバーへ送信されます。このバックドアは、オペレーターの指示に従ってコマンド実行、ファイルの持ち出し、感染システムへのデータ書き込みが可能で、プロキシ経由でも安定して動作し、SSL証明書の検証エラーを意図的に無視します。
このキャンペーンのインフラは、一見無害に見えるドメインの背後に隠されており、その一部は当初Cloudflare経由でトラフィックを中継していたものの、後にロシアに地理的に関連付けられるIPアドレスへ移行しました。XLLアドイン以外にも、攻撃者は追加の配布ベクターを用いており、NTFSの代替データストリーム(ADS)の脆弱性を悪用する悪性WinRARアーカイブも含まれていました。これらのアーカイブは展開されると、Windowsのスタートアップフォルダーを含む機微なシステム位置へ、ファイルを密かに配置できました。
マルウェアの実行と同時に、被害者にはデコイ文書(おとり文書)が表示されました。ロシア語で書かれた、公式書簡や招待状を装う内容でした。詳しく見ると、特徴的な異常が見つかりました。誤ったキリル文字(たとえば「Л」の代わりに「Д」を使用)、本来「праздника」とすべきところを「праздиика」とするような綴り間違い、そしてビジネス文書として不自然に聞こえるぎこちない表現(「深い敬意をもって招待する」)などです。ある文書では、国章をあしらった公式印が歪んだ双頭の鷲として表示されており、生成ツールの使用の可能性をさらに示唆していました。
支援インフラの分析、おとり文書間の類似性、悪用された脆弱性の重なりにより、研究者はこのキャンペーンをPaper Werewolf(別名GOFFEE)によるものと特定しました。同グループは以前からWinRARの脆弱性に依存し、ロシアの組織に対する攻撃に注力してきましたが、現在はXLLファイルを含む新たなマルウェア配布形式を試しているようです。
このキャンペーンが注目されるのは、技術的に高度であるだけでなく、この種の攻撃に関する公的な報告が依然として比較的少ないためでもあります。XLLアドインと新規バックドアの使用は、検知回避と防御制御の迂回を狙う攻撃者の意図を浮き彫りにしています。しかし、こうした革新の一方で、脆弱性もなお見て取れます。ずさんな言語的カモフラージュから定型的なおとり文書に至るまで、現場でツールを試しながら進化している途上の作戦であることを示しています。
翻訳元: https://meterpreter.org/beyond-macros-paper-werewolfs-echogather-backdoor-exploits-excel-xlls/
