タリウム (Thallium) 組織、XSL Script Processing 攻撃を実行 [T1220]
PLURA
XSL Script Processingとは?
攻撃者はXSLファイルにスクリプトを埋め込むことで、アプリケーション制御を回避し、コード実行を隠蔽することができます。
この攻撃手法は、MITRE ATT&CKで[T1220]として管理されています。
XSLとは?
XSL (Extensible Stylesheet Language: 拡張可能なスタイルシート言語) ファイルは、一般的にXMLファイルのデータを処理し、レンダリングするために使用されます。
XSLの標準には、複雑な処理をサポートするために、さまざまな言語でスクリプトを埋め込む機能が含まれています。
悪用の事例
攻撃者はこの機能を悪用し、アプリケーション制御を回避し、任意のファイルを実行します。
特にタリウムやDridexのようなマルウェアで利用されており、正規のWindowsユーティリティ(wmic.exe)を使用して悪意のあるXSLスクリプトファイルを取得します。
タリウム(Thallium):
北朝鮮政府の支援を受けていると推定されるハッカー集団で、最近では私設株式投資メッセンジャープログラムを改ざんし、サプライチェーン攻撃を実行しました。
実行動画 (XSL Script Processing)
PLURAによる検知および対応
PLURAは**「XSLスクリプト処理 [T1220]」**フィルターを使用して、この攻撃を検知できます。