VBAマクロ封じられたサイバー犯罪者次の一手、LNKファイル悪用が1,675%増加_マイナビ

Proofpointは7月28日(米国時間)、「How Threat Actors Are Adapting to a Post-Macro World|Proofpoint US」において、OfficeのVBAマクロをデフォルトでブロックしたMicrosoftに対して脅威アクターが新種のサイバー攻撃を開始していると伝えた。キャンペーンに新たな戦術、手法、手順を採用し始めたことが明らかとなった。

近年、OfficeのVBAマクロを悪用したキャンペーンの展開が増加。それに対しMicrosoftは、OfficeのVBAマクロ機能をデフォルトで無効にする変更を行うことで対抗していた(参考「Microsoft、OfficeのVBAデフォルトブロック機能を再び有効化 | TECH+」)。

Proofpointのセキュリティ研究者の調査によると、2021年10月から2022年6月の間に脅威アクターによるマクロを含んだファイルの使用は約66%も減少したことが判明した。代わりに攻撃者はマルウェアを配布するキャンペーンにおいて、ISOやRARなどのコンテナファイルやWindowsショートカット(LNK)ファイルを使用するケースが増えてきていることがわかった。脅威アクターによるコンテナファイルによるキャンペーンの数は2021年10月から2022年6月の間に175%近く増加したとのことだ。

https://news.mynavi.jp/techplus/article/20220731-2411465/