TA544 脅威アクターによって展開された WikiLoader マルウェア

研究者らは、マルウェア ダウンローダーがイタリアの企業を標的としたバンキング型トロイの木馬を配信するために、税務当局などイタリアのさまざまな組織を模倣していると報告しています。 Proofpoint によって「WikiLoader」と名付けられたこのダウンローダーは、検出を回避するためにいくつかの戦術を採用しています。 TA544 として知られるその背後のグループは金銭的な動機があると考えられており、WikiLoader を他のサイバー犯罪者に貸与するつもりである可能性があります。最終的に、このローダーは、TA544 が好むバンキング型トロイの木馬 Ursnif につながります。

研究者らが述べたように、「WikiLoader」という名前は、Wikipedia にリクエストを送信し、その応答に文字列「The Free」が存在するかどうかをチェックするというマルウェアの動作に由来しています。

WikiLoaderは悪意のある文書添付ファイルを通じて拡散

2022 年 12 月以来、Proofpoint は WikiLoader を配布する少なくとも 8 つのキャンペーンを観察しました。これらのキャンペーンは、Microsoft Excel、OneNote、または通常の PDF ファイル形式の添付ファイルを含む電子メールから始まりました。 WikiLoader は、TA544 と TA551 という 2 つの攻撃者によって配布されていることが判明しており、どちらもイタリアに重点を置いています。 Microsoft のセキュリティ対策のおかげで、ハッカーは Microsoft Office のマクロが含まれた悪意のある添付ファイルの使用を控えていますが、TA544 は攻撃チェーンでこれらの添付ファイルを使用し続けています。

Microsoft Excel の添付ファイルには、特徴的な VBA マクロが使用されていました。これらのマクロを有効にすると、WikiLoader のダウンロードと実行がトリガーされます。WikiLoader は、TA544 によるキャンペーン中に Proofpoint によって発見された、これまで知られていなかったダウンローダーです。 VBA は、Office スイートに統合されている Visual Basic for Applications プログラミング言語を指します。

WikiLoader の作成者は、検出を回避して目立たないようにするために、マルウェアを定期的に更新しているようです。 Proofpoint の上級脅威インテリジェンス アナリストである Selena Larson 氏によると、その機能を考えると、より多くのサイバー犯罪者、特に初期アクセス ブローダーとして知られる者がこのダウンローダーを使用する可能性が高く、ランサムウェア攻撃につながる可能性があります。

Ursnif マルウェアのソース コードは 2015 年にオンラインに流出し、攻撃者がこのトロイの木馬のカスタマイズされた検出が困難なバージョンを開発できるようになりました。 DreamBot および Gozi ISFB としても知られる Ursnif は、特に銀行および金融部門をターゲットにし、被害者からパスワードと資格情報を盗みます。

TA544 は 2 月に、イタリアの宅配サービスを装って、WikiLoader の更新バージョンを使用したキャンペーンを開始しました。このバージョンはより洗練されており、自動分析を回避するために追加の停止メカニズムを採用し、エンコードされた文字列を使用していました。

これらの脅威から保護するために、Proofpoint の研究者は組織に対し、すべての従業員に対してデフォルトでマクロを無効にし、OneNote ドキュメント内の埋め込み外部ファイルの実行をブロックすることを推奨しています。