B
今週中
WindowsのレガシーツールであるMSHTA(Microsoft HTML Application)を悪用したマルウェア攻撃が急増しています
📌 一言でいうと
WindowsのレガシーツールであるMSHTA(Microsoft HTML Application)を悪用したマルウェア攻撃が急増しています。攻撃者はMSHTAをLOLBIN(Living-off-the-Land Binary)として利用し、メモリ上でVBScriptを実行させることで、検知を回避しながらステルス的にマルウェアを配信します。Bitdefenderの分析によると、 commodity stealerからPurpleFoxのような高度なマルウェアまで、幅広い脅威に利用されていることが確認されています。
🏢影響範囲
Windows OSを利用しているすべての組織およびユーザー
✅該当時の対応
MSHTA.exeの実行を制限するポリシーの適用、および不審なHTAファイルの実行をブロックするエンドポイントセキュリティ対策の強化を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Windowsレガシーツール MSHTA を悪用した攻撃の急増について
お疲れさまです。MSHTAを悪用したマルウェア配信手法に関する情報共有です。
■ 概要
Windows標準のMSHTA.exeがLOLBINとして悪用され、メモリ上でVBScriptを実行させることでセキュリティソフトの検知を回避し、マルウェア(PurpleFox等)をロードする攻撃が増加しています。
■ 影響範囲
- Windows OS 全般(MSHTAが有効な環境)
■ 対応手順
1. EDR/AVにて mshta.exe による不審なネットワーク接続や子プロセスの生成を監視する。
2. 業務上不要な場合は、AppLockerやWindows Defender Application Control (WDAC) を使用して mshta.exe の実行を制限する。
3. ユーザーが不審な添付ファイルやリンクから .hta ファイルを実行しないよう注意喚起を行う。
■ 参考情報
- Bitdefender Threat Intelligence
対応優先度: 中
対応期限: 順次対応
お疲れさまです。MSHTAを悪用したマルウェア配信手法に関する情報共有です。
■ 概要
Windows標準のMSHTA.exeがLOLBINとして悪用され、メモリ上でVBScriptを実行させることでセキュリティソフトの検知を回避し、マルウェア(PurpleFox等)をロードする攻撃が増加しています。
■ 影響範囲
- Windows OS 全般(MSHTAが有効な環境)
■ 対応手順
1. EDR/AVにて mshta.exe による不審なネットワーク接続や子プロセスの生成を監視する。
2. 業務上不要な場合は、AppLockerやWindows Defender Application Control (WDAC) を使用して mshta.exe の実行を制限する。
3. ユーザーが不審な添付ファイルやリンクから .hta ファイルを実行しないよう注意喚起を行う。
■ 参考情報
- Bitdefender Threat Intelligence
対応優先度: 中
対応期限: 順次対応
Subject: [Intel] Surge in Malware Attacks Leveraging Windows MSHTA
Hi team,
We are sharing intelligence regarding the increased use of MSHTA.exe as a delivery mechanism for malware.
■ Overview
Threat actors are utilizing MSHTA (Microsoft HTML Application) as a Living-off-the-Land Binary (LOLBIN) to execute VBScript in memory. This technique allows them to bypass traditional detection and deploy a range of malware, including commodity stealers and advanced threats like PurpleFox.
■ Scope
- All Windows environments where MSHTA is enabled.
■ Recommended Actions
1. Configure EDR/AV to monitor and alert on suspicious network connections or child processes spawned by mshta.exe.
2. Implement execution restrictions for mshta.exe using AppLocker or Windows Defender Application Control (WDAC) if not required for business operations.
3. Ensure users are trained to avoid executing .hta files from untrusted sources.
■ Reference
- Bitdefender Threat Intelligence
Priority: Medium
Deadline: As soon as possible
Hi team,
We are sharing intelligence regarding the increased use of MSHTA.exe as a delivery mechanism for malware.
■ Overview
Threat actors are utilizing MSHTA (Microsoft HTML Application) as a Living-off-the-Land Binary (LOLBIN) to execute VBScript in memory. This technique allows them to bypass traditional detection and deploy a range of malware, including commodity stealers and advanced threats like PurpleFox.
■ Scope
- All Windows environments where MSHTA is enabled.
■ Recommended Actions
1. Configure EDR/AV to monitor and alert on suspicious network connections or child processes spawned by mshta.exe.
2. Implement execution restrictions for mshta.exe using AppLocker or Windows Defender Application Control (WDAC) if not required for business operations.
3. Ensure users are trained to avoid executing .hta files from untrusted sources.
■ Reference
- Bitdefender Threat Intelligence
Priority: Medium
Deadline: As soon as possible