新しいAgent Tesla

Agent Teslaは、かなり前から存在するよく知られたマルウェアで、形式としてはインフォスティーラーです。
これまでも何度も更新され、毎回新しい機能が実装されるなどしてきました。
そんなAgent Teslaに、またも新しい亜種が確認されています。

• 入口はメール
  まずはフィッシングメールが到着するところから始まります。
  そのメールにはそれらしい文面が記載されており、文書が添付されています。
  これまでのAgent TeslaではMicrosoft Compiled HTMLファイル(拡張子は.chmです)であることもありました。
  現在のキャンペーンでは添付ファイルの形式はエクセル文書です。

   

• エクセルの脆弱性
  現在のキャンペーンで悪用されている脆弱性は、CVE-2017-11882とCVE-2018-0802です。
  どちらもMicrosoft Excelの脆弱性です。
  CVE番号が示す通り、これらの脆弱性は非常に古いものです。
  いまだにこれらの脆弱性は広く存在したままになっているということです。

   

• ユーザの手によって有効化される悪意あるコード
  エクセル文書を開いただけでは悪意あるコードは実行されません。
  文書を開いた人がマクロを有効にする操作を実行する必要があります。
  今回のキャンペーンでは実に大胆です。
  画面に大きくダイアログのようなものが表示されます。
  そこには文書が保護されていることが示され、コンテンツを有効にするための手順が示されています。
  そこに書かれていることはなにも間違っていません。
  文書はエクセルの標準設定でマクロ実行が許可されていない状態になっています。これは危険でない状態といえるでしょう。
  しかし、そのダイアログに従って操作すると文書は信頼されたものとして扱われ、文書に含まれるマクロは動作を開始することになります。
  自信たっぷりと大きな表示で悪事が成り立つための手順を示しているというわけです。
  活字で示されるとそれが本当のことのように感じてしまう場合があるという話に似た効果がありそうです。

   

• 感染活動
  マクロが有効になると後はもう感染行為を実行するのみです。
  仕込まれた数式情報をエクセルの機構の一部が解釈し、この機構の脆弱性を悪用してシェルコードがバックグラウンドで実行されます。
  暗号化されたコードは復号化され、動作します。
  動作したコードは外部から追加のバイナリを入手します。
  そのバイナリも難読化されています。
  永続化のための機構を含み、侵害環境の情報を収集します。
  ブラウザ、メールクライアント、FTPクライアント、VPNクライアント、メッセンジャー系アプリなど、さまざまなソフトウェアから情報を収集します。
  キーロギング機能もありますし、画面保存機能もあります。
  集めた情報はSMTPで外部に持ち出されます。

この攻撃の成り立ちで重要な位置を占めているのは、実に古い脆弱性です。
2017年のものと2018年のものです。
そんなのもうないでしょ、と思う人も少なくないかもしれません。
しかし実際にはこれらの脆弱性が存在したままになった機器が多く存在するため、これらの攻撃キャンペーンは成り立ってしまっているのです。

気にするべき対象は普段自分が使っているパソコンだけではないかもしれません。
家族の使っているパソコンはどうでしょう。
気になりだすと、意識したほうがよい範囲はとても広そうです。
一部の人が頑張ってどうにかなる問題ではなさそうです。
少しでも多くの人が状況を理解し、対策に取り組みはじめることが必要ということなのでしょうね。

参考記事（外部リンク）：New Agent Tesla Variant Being Spread by Crafted Excel
Document
www.fortinet.com/blog/threat-research/agent-tesla-variant-spread-by-crafted-excel-document