JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月22日、「MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 - - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、2023年7月に発生したサイバー攻撃において、悪性なWordファイルをPDFファイルに埋め込むことで検知を回避しようとする新しいテクニックが用いられたことを確認したと報じた。
JPCERT/CCは、この新しいテクニックを「MalDoc in PDF」と呼び、注意を呼びかけている。MalDoc in PDFで作成されるファイルは、PDFファイルにマクロ付きmhtファイルを結合しただけの単純な構造とされる。このファイルをPDFビューワなどで閲覧した場合はPDFファイル部分が開かれるが、Wordで開いた場合にmhtファイル部分が開かれてマクロが実行されてしまうという。
2023年7月に確認された攻撃では、このファイルの拡張子が.docとなっていたため、Wordから開かれマクロが実行されたものとみられる。JPCERT/CCはMalDoc in PDFで作成されたファイルをWordで開いた場合に通信が発生する様子を動画([Demo] MalDoc in PDF - YouTube)で公開している。
JPCERT/CCによると、このMalDoc in PDFで作成されたファイルは既存のPDF分析ツールで悪性部分を検出できない可能性が高く、またSandboxやウイルス対策ソフトからもPDFファイルとして判定され悪性部分を検出できない可能性があるとしている。これに対し、悪性なWordファイルの分析ツールである「olevba · decalage2/oletools Wiki · GitHub」からは検出が可能で埋め込まれているマクロを確認できるとし、検出方法の例を示している。またYaraルールの例も示しており、Yaraを使用している場合はこちらの利用も可能。
MalDoc in PDFで作成されたファイルはMicrosoft Wordのマクロ自動実行の設定を回避するものではないとされ、自動実行を許可していない場合はファイルを開く際にマクロ実行の選択肢が提示される。安全が確認されていないマクロを使わないよう注意して行動すれば回避できる可能性がある。
JPCERT/CCは既存のマルウェア検出の仕組みではMalDoc in PDFで作成されたファイルがPDFファイルとして認識され、ウイルス対策ソフトなどで自動的に検出・排除できない可能性があることに重ねて注意を呼びかけている。
