B
今週中
Securonix社は、GoogleのBlogspotを利用して情報窃取マルウェアを配信する「Veil#Drop」と呼ばれる高度な攻撃フレームワークを検出しまし…
📌 一言でいうと
Securonix社は、GoogleのBlogspotを利用して情報窃取マルウェアを配信する「Veil#Drop」と呼ばれる高度な攻撃フレームワークを検出しました。この攻撃は、ドキュメントを装ったJavaScriptファイルから始まり、PowerShellを介してBlogspot上のペイロードをメモリ内で実行します。難読化された.NETアセンブリや複数のフォールバックメカニズムを用いることで、静的解析やシグネチャベースの検知を回避する設計となっています。
🔍該当判定
- 社員が、メールやチャットで送られてきた「ドキュメント形式のJavaScriptファイル(.js)」を開く可能性がある
- 社内でGoogleのブログサービス「Blogspot」を利用して、外部からファイルをダウンロードさせる運用をしている
- Windows端末で、PowerShellの実行制限(実行ポリシー)を無効化して運用している
- 不審なメールの添付ファイルを開いた際、身に覚えのない「偽の文書(デコイ文書)」が表示された報告がある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なメールの添付ファイルやリンクを開かないこと。エンドポイント保護製品(EDR)でのPowerShellの不審な挙動の監視を強化し、信頼されたドメイン(blogspot.com等)からの不自然なスクリプト実行を制限することを推奨します。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なファイルやリンクの開封に関する注意について
お疲れさまです。情報システム担当です。
信頼されたサイト(Googleのブログサービスなど)を悪用して、ウイルスに感染させる巧妙な攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元からのメールに添付されたファイルや、リンクは絶対に開かないでください。
2. 「ドキュメント」に見えても、実際にはプログラムが動作するファイルである可能性があります。不審な点があればすぐに報告してください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
信頼されたサイト(Googleのブログサービスなど)を悪用して、ウイルスに感染させる巧妙な攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元からのメールに添付されたファイルや、リンクは絶対に開かないでください。
2. 「ドキュメント」に見えても、実際にはプログラムが動作するファイルである可能性があります。不審な点があればすぐに報告してください。
対応期限: 本日中
Subject: [Security Alert] Caution Regarding Suspicious Files and Links
Dear employees,
We have observed sophisticated attacks that leverage trusted services (such as Google's Blogspot) to deliver malware.
Requested Actions:
1. Do not open attachments or click links from unknown or untrusted senders.
2. Be aware that files appearing to be documents may actually be malicious scripts. Please report any suspicious activity immediately.
Deadline: Immediate
Dear employees,
We have observed sophisticated attacks that leverage trusted services (such as Google's Blogspot) to deliver malware.
Requested Actions:
1. Do not open attachments or click links from unknown or untrusted senders.
2. Be aware that files appearing to be documents may actually be malicious scripts. Please report any suspicious activity immediately.
Deadline: Immediate