Nobeliumの追加した作戦

Nobeliumはハッカー集団です。
APT29とかCozy Bearとかとも呼ばれています。こちらの方がピンとくるでしょうか。
彼らはしばらく表立って話題になりませんでしたが、新しい作戦を追加していたことが観測されています。

彼らはこれまで多くのオリジナルマルウェアを送り出してきました。
そしてそういったマルウェアはいろいろな方法で被害者に届けられます。
方法はいくつかありますがよく使う方法はメールの添付ファイルです。
添付ファイルに魅力的な文面を記載し、巧みにマクロを実行させます。

今回観測されている手法はほぼそのままなのですが、ひねりが加えられています。

• メールはスペインに届く
• メールの送信元はイスラエル大使館に見える
• 添付ファイル名は「Ambassador_Absense.docx」となっている
  大使不在という感じです。
  なんとなく内容を読んだ方がよい感じがしませんか？
• ワード文書の本文が文字化けしている
  添付ファイルを開くとワード文書の本文が文字化けしている表示になっています。
  スペインではスペイン語が表示されるフォントが通常使われていると思います。
  イスラエルから来た文書ならイスラエルで通常表示されるフォントがないと正常に表示できないのかもしれないな、とか思ってしまいそうです。
• 文書を有効化することを促す
  文字化けした文書の冒頭の部分に文書を有効化することを促す例の黄色い帯が表示されています。
  マクロを有効化するときに表示される黄色い帯です。

これまでよく観測されたパターンでは、マクロを有効化する必要があるように本文で訴える方式が多かったように思います。
この作戦ではそこにひねりが加えられています。
本文は全く化けてしまって読めないのです。
そして文書を開いた人が本文を読もうとして自ら文書を有効化しようとするのです。
「有効化しろ」と示されると怪しんで有効化しない人も最近は多いかもしれません。
しかし自分で有効化しようとしてしまう状況となった場合、誰がそれを止めることができるでしょう。
この作戦の場合、有効化してしまう人は一定数いるかもしれません。

この文書は2022/4/18時点で2022/1/10の作成日付のものが補足されています。
このファイルは2022/4/18時点ではVirusTotalに連携しているどのセキュリティベンダーのシステムもマルウェアであると示すことができませんでした。
しかしこのファイルを有効化すると、仕事が行われます。
HTAスクリプトが起動され、JavaScriptが実行されます。
JavaScriptはDLLを復号化して実行します。
実行されたDLLは動作環境の情報を収集しC2に送信します。
そしてC2から受信したペイロードを実行しようとします。
ばっちりマルウェアです。

こんな作戦もあるんだと認識しておくことが必要に思いました。

参考記事（外部リンク）：Nobelium – Israeli Embassy Maldoc
inquest.net/blog/2022/04/18/nobelium-israeli-embassy-maldoc