Trend Microは3月18日(米国時間)、「ZDI-CAN-25373 Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns|Trend Micro (US)」において、複数の脅威アクターが使用した悪意のあるWindowsリンクファイル(.LNK)を約1,000件特定したとしてその詳細な分析レポートを公開した。

  • ZDI-CAN-25373 Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns|Trend Micro (US)

    ZDI-CAN-25373 Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns|Trend Micro (US)

侵害経路

Windowsリンクファイル(.LNK)はさまざまなサイバー攻撃に度々悪用されているが、今回発見された手法は2017年から多くの脅威アクターに使用されているとして注意が呼びかけられている。Trend Microは初期の侵害経路(配布方法)には触れていないが、仕組みの詳細を解説している。

サイバー攻撃に使用されるリンクファイルの多くは「cmd.exe」やPowerShellを起動して、外部から追加の処理をダウンロードしようとする。今回攻撃者はこれらコマンドに渡すコマンドライン引数を細工することで、ユーザーによるリンク先の確認を妨害する仕組みを導入した。

具体的にはコマンドライン引数に大量の空白文字を挿入し、引数をプロパティダイアログの画面外にはみ出させて視認できないようにした。実際に確認された空白文字は次のとおり(カッコ内は16進数のASCIIコード)。

  • スペース(\x20)
  • 水平タブ(\x09)
  • 改行(\x0A)
  • 垂直タブ(\x0B)
  • フォームフィード(\x0C)
  • キャリッジリターン(\x0D)
  • 大量のスペースでリンク先(Target)を隠蔽する例 - 引用:Trend Micro

    大量のスペースでリンク先(Target)を隠蔽する例 引用:Trend Micro

このようなリンクファイルを構築するにはファイルにバイナリコードを直接埋め込む必要があり、攻撃者は特別なツールを使用して作成したものとみられる。また、Trend Microによると北朝鮮の脅威アクターは同様の攻撃において、異常なまでに大量の空白文字を埋め込む傾向が確認されたという。多いものでは70.1MBものリンクファイルを作成したとされる。

影響と対策

Trend Microはこの攻撃手法を「ZDI-CAN-25373」として追跡している。追跡調査の結果、この攻撃手法は多数の脅威アクターおよび持続的標的型攻撃(APT: Advanced Persistent Threat)グループにより悪用されていたとみられる。

  • ZDI-CAN-25373を悪用したAPTグループの分布図 - 引用:Trend Micro

    ZDI-CAN-25373を悪用したAPTグループの分布図 引用:Trend Micro

主な標的は各国政府、金融(暗号通貨関連を含む)、シンクタンク(非政府組織を含む)、通信、軍事および防衛、エネルギー業界の組織または個人とされる。主な被害地域は北米、南米、ヨーロッパ、東アジア、オーストラリアとされる。

  • 被害の分布図 - 引用:Trend Micro

    被害の分布図 引用:Trend Micro

Trend Microはこの手法を脆弱性としてMicrosoftに報告している。しかしながら、Microsoftは深刻度を「低い」と評価したという。そのため、当面の間は修正プログラムの提供は期待できないという。

修正プログラムが期待できないことから、Trend Microはこの攻撃を回避するために企業や組織に対し、AI搭載のセキュリティソリューションの導入を推奨している。また、悪意のあるリンクファイルを検出するYARAルールが公開されており、必要に応じて活用することが望まれている。