概要
Menlo Labsの研究チームは、テンプレートインジェクションのテクニックを使って武器化された複数のおとり文書を分析しました。この手法を使った文書にはマクロのような疑わしい部分が存在せず、後から悪意のあるテンプレートを読み込むため、見つかりにくく、攻撃者が好んで利用してきました。EmpireやPhisheryのようなフレームワークは、武器化されたテンプレートインジェクション文書を生成する機能を提供しています。
こういった特質を持っていることから、Menlo Securityではテンプレートインジェクション攻撃が今後も増加し、エクスプロイトをオンザフライでロードすることすら可能だと考えています。
このテクニックは、以下の理由からも注目されています:
- このテクニックは、HEAT(Highly Evasive Adaptive Threats:高度に回避的で適応型の脅威)の代表的なテクニックであるLURE(Legacy URL Reputation Evasion:レガシーなURLレピュテーションの回避) を利用してセキュリティツールやソリューションを回避するもので、Webフィルターが高いレピュテーションを付けているWebサイトを悪用してマルウェアを送り込みます。
- 攻撃者は、ローカルまたはリモートマシンでホストされているテンプレートを構築するために、文書内に悪意のあるURLを注入します。この武器化された文書は、開かれたときに悪意のあるテンプレートをダウンロードして実行しようとします。この、ペイロードをロードする攻撃キルチェーンは、LotL(Living off the Land:環境寄生型)攻撃とも呼ばれ、悪意のあるアクションを実行するために正規のソフトウェアを使用する攻撃として分類されます。
このブログでは、テンプレートインジェクション攻撃の仕組みと、これらの攻撃を防ぐ方法について詳しく解説します。
背景
Microsoft OfficeではOOXML(Office Open XML)形式が採用されており、文書にリソースを埋め込むことができます。そして、リレーションシップと呼ばれる手法を用いることで、XMLファイル内でソースパーツとターゲットリソースの関係を指定することが可能です。リレーションシップは、文書パッケージ内の.rels(XML)ファイルにカプセル化されています。
攻撃者は、LotL攻撃によってこのMicrosoft Officeの機能を不正に利用します。これらの攻撃は、悪意のあるテンプレートをホストしているURLを.rels XMLファイルに注入することで行われます(図1参照)。
上の例では、悪意のあるURLが "target=" の入力として提供され、"TargetMode" は "External" として設定されています。武器化された文書を実行すると、悪意のあるテンプレートがダウンロードされ、実行されます(図2参照)。
テンプレートインジェクション攻撃の流れは、以下の画像のようになります(図3参照)。
感染ベクトル
武器化されたテンプレートインジェクション文書は、表面的には良性と判断される可能性があります。悪意のあるURLやエクスプロイトマーカーなどのわかりやすい指標が含まれていない限り、セキュリティスキャナーでは検知できないことが多いのです。これは、これらの文書の大半がメールの添付ファイルとして届く大きな理由の1つです。
また攻撃者は、被害者を信頼させるために既存のメールスレッドの会話を乗っ取り、武器化されたテンプレートインジェクション文書を添付することもあります。
テンプレートインジェクション攻撃
テンプレートインジェクション攻撃は、幅広い攻撃を行うために趣向を凝らし、さまざまな組み合わせを試してきました。その手法は、悪意のあるテンプレートをダウンロードしてエクスプロイトをロードするものから、フィッシング攻撃、さらには多段階攻撃を実行するものまで、多岐にわたります。
最近のテンプレートインジェクション攻撃では、攻撃者がマイクロソフトの正規のURL(http://schemas.openxmlformats.org/)を装って被害者を騙し、悪意のあるテンプレートをダウンロードさせました(図4参照)。
この文書(ハッシュ:ee8aef2974ddcdb3917308f6475100f8)は、http://www[.]xmlschemeformat[.]com/update/2021/Office/form[.]dotm から不正なdotmテンプレートをダウンロードしました。このテンプレートは、画像ステガノグラフィーを使ってJames Webb Telescopeが撮影した最初の画像の1枚にマルウェアを隠し、被害者のエンドポイントにダウンロードさせました。
次に、武器化されたテンプレートインジェクション文書を使用した攻撃のいくつかの事例を分析します。
MSDT の「Follina」Zero 脆弱性(CVE-2022-30190)
「Follina」Zero脆弱性(CVE-2022-30190)は、Microsoft Support Diagnostic Tool(MSDT)に存在する脆弱性です。この脆弱性の背後にいる攻撃者は、外部の一般向けURLでFollinaエクスプロイトをホストしていました。このURLは、エクスプロイトテンプレートを起動するために末尾にエクスプロイトマーカー「!」を付けて文書内に注入されました。
テンプレートインジェクションを武器とするFollinaエクスプロイトを使用して行われた攻撃の1つでは、文書が「Doha Expo 2023へのVIP招待状」であると主張されました(図5を参照)。
実行されると、この文書(ハッシュ:85829b792aa3a5768de66beacdb0a0ce)は、Follina exploitを取得します: https://files.attend-doha-expo[.]com/inv[.]html. このHTMLファイルには、ms-msdtを呼び出すJavaScriptが埋め込まれており、エクスプロイトとそのペイロードを起動させることができます。
Patchwork APT:LURE(LOTS)HEAT テクニック
Patchworkは、外交や政府機関に関連する業界を標的とすることで知られるAPTグループです。このグループの手口は、一般的にオンラインフォーラムからのコピー&ペーストによって派生するマルウェアを使用するものです。
最近発生した攻撃では、Patchwork APTが「パキスタン国防省」を名乗る武器化文書が使用されています(図6参照)。
この文書(ハッシュ:ccf66fd0fc09ba0ea0d43d3e2f62f5fd )は、URL:http://office-fonts[.]herokuapp[.]com/en-us からテンプレートをダウンロードしました。これはさらに、パスワードで保護されたPDFファイル "Scan03.pdf "をダウンロードします。
攻撃に使用されたURLは、ドメインクラウドプラットフォーム "Heroku."でホストされていました。マルウェアの配信に良性/良好な評判のウェブサイトを使用するこのような手法は、Legacy URL Reputation Evasion (LURE) または Living Off Trusted Sites (LOTS) と呼ばれるHEATテクニックに属します。
武器化されたテンプレートインジェクション文書を使用した標的型攻撃
複数の攻撃者や攻撃グループが、武器化されたテンプレートインジェクション文書を使用して標的型攻撃を実施しています。これらの武器化された文書を使用する攻撃グループの中から、最も新しい、あるいは進行中の攻撃をいくつか挙げます。
- TA423/Red Ladon ScanBoxキャンペーン:Proofpointは2021年6月から2022年5月にかけて、TA423/Red Ladonによる継続的なScanboxフィッシングキャンペーンを観測しました。この攻撃では、テンプレートインジェクションによって武器化された悪意のあるRTF添付ファイルが使用されていました。
- DoNot Team/APT-C-35:2022年8月、Morphisecは、DoNotチームの最新のスピアフィッシングメールキャンペーンの詳細を掲載しました。この攻撃では、パキスタンの防衛部門を含む標的の政府部門への攻撃において、RTFテンプレートインジェクション文書が使用されていました。
- TA453/Charming Kitten/PHOSPHORUS/APT42:PwCとProofpointは、2022年7月と2022年9月に、TA453グループによって行われた攻撃の詳細を掲載しました。この攻撃では、リモートテンプレートインジェクションを使用して悪意のあるマクロを取得し実行するMicrosoft Word文書ドロッパーが使用されました。
- Gamaredon APT:Ciscoは2022年9月の最近の投稿で、ウクライナの政府機関を標的としたGamaredon APTの詳細を掲載しました。この攻撃では、フィッシングメールを使用して、悪意のあるVBScriptマクロを含むリモートテンプレートを含むMicrosoft Office文書を配信していました。
Menlo Protection
アイソレーションコアを活用したMenlo Securityのクラウドセキュリティプラットフォームをご利用のお客様は、テンプレートインジェクション攻撃から設計上保護されています。Menlo Securityのクラウドセキュリティプラットフォームは、インターネットからダウンロードされたすべての文書を、ユーザーのエンドポイントから離れたIsolation Coreで開きます(図7参照)。
検査エンジンがファイルの良し悪しを判断している間に、ユーザーが閲覧できる安全なバージョンの文書に変換されます。Menlo SecurityのSafedoc機能は、アクティブなコンテンツをすべて削除し、それによって悪意のある側面を確実に除去します。また、インターネット上のすべての文書が安全なバージョンとしてダウンロードされるように、ポリシーを設定することも可能です。
結論
この記事では、悪意のあるURLを文書に注入することによって、武器化されたテンプレートインジェクション攻撃がどのように実行されるか、またLotL攻撃として知られていることを詳しく説明しました。このテクニックでは、文書に典型的な不審な指標が存在しないため、悪意のあるテンプレートが取得されるまで、セキュリティツールやソリューションを回避することができます。さらに、これらの攻撃は、一般的なHEAT(Highly Evasive Adaptive Threat)テクニックであるLURE(Legacy URL Reputation Evasion:レガシーURLレピュテーション回避)も使用しています。LUREは悪意のあるテンプレートが良性/良好な評判を持つウェブサイト、またはLOTS(Living Off Trusted Sites)でホストされている場合に使用される手法です。
Menlo Labsは、テンプレートインジェクション攻撃を使用する脅威グループやキャンペーンを継続的に監視し、研究の最新情報を共有していきます。