3月頃から埋め込みオブジェクトを悪用した攻撃メールをちらほら見かけます。
Outlookユーザを狙った攻撃と推測され、Outlook 2010より古いバージョンなどでは添付ファイルのコピーをそのまま保存することができません。ドラッグ&ドロップでは、偽装アイコンの画像ファイルのみが保存されることになります。そのため、標的ユーザはファイルの内容を確認するためについクリックしてしまうようです。

添付ファイル

なお、Outlook 2013からのバージョンでは埋め込まれたオブジェクトのコピーを保存することができます。取り出してみると、おなじみの(?)ドキュメントファイルを装った実行ファイルであることがわかります。

添付ファイル1

ただ、埋め込みオブジェクトであるためか若干状況が異なります。EXEファイルでは先頭にあるはずのMZシグネチャが中央付近に確認できます。その上部には埋め込んだドキュメントファイルのパスが記述されています。つまり、単純にファイルシグネチャのみでファイルの種別を判定し、解析の実行有無を決定している類のセキュリティツールでは実行ファイルであることが認識できず、該当メールを見逃してしまう可能性があります。
#現在、そのような製品があるかは未確認です。昔あったような・・・。

Hex Editor


埋め込みオブジェクトを利用した攻撃は以前から存在しているものですが、APTで利用されたものは久しぶりに見ましたので報告させて頂きました。社内のサイバーセキュリティ訓練・演習や啓発活動に使ってみてはいかがでしょうか。