新しいFormBookのバリアントが一般ユーザーを標的に

FortiGuard Labsの セキュリティ研究者 は 発見しました 大量のフィッシングキャンペーンで配信されている新しいFormBookのバリアントを。特に、攻撃者は最近の購入注文のフォローアップに偽装したマルウェア入りMicrosoft PowerPointドキュメントでユーザーを標的にしています。詐欺師の餌に引っ掛かった人は、悪名高いデータ窃取マルウェアでデバイスを感染させました。 

新しいFormBookフィッシング

感染は、最近の購入注文に対する返信として偽装されたフィッシングメールから始まります。この偽のメッセージは、追加のパンフレットや価格詳細を含むとされる添付のPowerPointドキュメントを開くように被害者に促します。特に、このファイルは.pps拡張子で配信されており、PowerPointソフトウェアが従来の.pptファイル拡張子によって事前に定義された編集モードではなく、スライドビューで開くようにします。 

ユーザーが悪意のあるファイルを開いてスライドのバッチを検索するように騙された場合、VBAスクリプトがバックグラウンドで実行され、マクロ関数を実行します。これにより、 特定の.Netファイルをロードするために設計されたPowerShellコードがトリガーされます。このファイルはさらに3つの高度に難読化され暗号化された.Netモジュールを通じて転送され、最後のモジュールで最終的なFormBookのペイロードがダウンロードされます。 

マルウェア概要

FormBook は、少なくとも2016年以来活動している悪名高いデータ窃取およびフォームグラバーマルウェアです。このマルウェアは「マルウェア・アズ・ア・サービス」として地下フォーラムで活発に販売されているため、誰でもサブスクリプションを購入して悪意のあるキャンペーンを開始できます。特に、このマルウェアは、設定や機能の幅広いカスタマイズオプションを備えたPHPコントロールパネルとして提供されています。

FormBookは通常、malspamに依存して配信され、悪意のある添付ファイルを利用してペイロードをドロップします。感染すると、このマルウェアはクレデンシャルのダンプ、スクリーンショットのキャプチャ、クリップボードの監視、キー入力のログ記録、ブラウザのクッキーのクリア、ファイルのダウンロードと実行、システムの再起動とシャットダウンなど、多様な機能を実行できます。

その出現以来、FormBookは、いくつかの大規模な悪意のあるキャンペーンに関与してきました。 米国および韓国に対する 航空宇宙、防衛、製造産業への攻撃（2017年） 米国および中東 情報サービスおよび金融セクターに対するキャンペーン（2018年） COVID-19フィッシングキャンペーン （2020年）

新しいFormBookバリアントの検出

熱心な脅威報奨プログラム開発者の Osman Demirが提供するコミュニティSigmaルールで新しいFormBookバリアントフィッシングから能動的に防御します: 

https://tdm.socprime.com/tdm/info/lfTlbTYlVIcy/#sigma 

このルールは、以下のプラットフォームに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix

EDR: Carbon Black, Sentinel One, Microsoft Defender ATP

MITRE ATT&CK:

戦術: 実行、初期アクセス

手法: コマンドラインインターフェース (T1059), スピアフィッシング添付ファイル (T1566)

また、 既にThreat Detection Marketplaceで利用可能なFormBook検出の完全なリスト を確認することができます。今後の更新については、私たちのブログをチェックしてください！

Threat Detection Marketplaceに無料で登録し、100K以上の検出と応答ルール、パーサー、検索クエリ、およびCVEおよびMITRE ATT&CK®フレームワークにマッピングされたその他のSOCコンテンツでサイバー防御能力を向上させましょう。最新のサイバーセキュリティトレンドを注意深く監視し、脅威狩り活動に参加したいですか？ 私たちの脅威報奨プログラムに参加してください！

プラットフォームに移動 脅威報奨に参加