Last Updated on 2024-06-22 04:31 by 門倉 朋宏
Rapid7の調査によると、Google ChromeやMicrosoft Teamsなどの人気ソフトウェアのトロイの木馬化されたインストーラーを利用するマルバタイジングキャンペーンが、Oyster(別名BroomstickやCleanUpLoader)と呼ばれるバックドアを拡散している。このキャンペーンでは、GoogleやBingなどの検索エンジンで検索した後にユーザーがリダイレクトされる偽のウェブサイトが悪意のあるペイロードをホスティングしている。これらのウェブサイトは正規のソフトウェアを含んでいると偽り、セットアップバイナリのダウンロードを試みると、代わりにマルウェア感染チェーンが起動される。実行可能ファイルは、Oysterバックドアへの経路として機能し、これは侵害されたホストに関する情報を収集し、ハードコードされたコマンドアンドコントロール(C2)アドレスと通信し、リモートコード実行をサポートする能力を持つ。Oysterは過去にBroomstick Loader(別名Oyster Installer)と呼ばれる専用のローダーコンポーネントによって配信されていたが、最新の攻撃チェーンではバックドアが直接展開される。このマルウェアは、TrickBotマルウェアの背後にいるとされるロシアに関連するグループ、ITG23と関連があるとされる。マルウェアの実行後、正規のMicrosoft Teamsソフトウェアがインストールされ、偽装を維持し、警戒を引き起こさないようにする。
また、Rogue Raticate(別名RATicate)と呼ばれるサイバー犯罪グループが、PDFのデコイを使用してユーザーを悪意のあるURLをクリックさせ、NetSupport RATを配信するメールフィッシングキャンペーンの背後にいるとされる。成功した場合、ユーザーはTraffic Distribution System(TDS)を介してチェーンの残りの部分に導かれ、最終的にはNetSupport Remote Access Toolがマシンに展開される。
さらに、ONNX Storeと呼ばれる新しいフィッシング・アズ・ア・サービス(PhaaS)プラットフォームが登場し、PDF添付ファイルに埋め込まれたQRコードを使用してフィッシングキャンペーンを実施し、被害者をクレデンシャルハーベスティングページに誘導することが可能になった。ONNX Storeは、Telegramボットを介してBulletproofホスティングとRDPサービスも提供しており、Caffeineフィッシングキットのリブランド版であると考えられている。このサービスは、MRxC0DERというアラビア語を話す脅威アクターによって維持されている。フィッシングウェブサイトスキャナーによる検出を回避するためにCloudflareのアンチボットメカニズムを使用し、フィッシングキャンペーンで配布されるURLは、ページ読み込み時に解読される暗号化されたJavaScriptを埋め込んでおり、被害者のネットワークメタデータを収集し、2FAトークンをリレーする。ONNX Storeには、被害者からの二要素認証(2FA)リクエストを傍受する2FAバイパスメカニズムがある。フィッシングページは、実際のMicrosoft 365ログインインターフェースのように見え、ターゲットを騙して認証情報を入力させる。
【ニュース解説】
最近の調査によると、Google ChromeやMicrosoft Teamsなどの人気ソフトウェアのダウンロードを装ったトロイの木馬化されたインストーラーを通じて、Oysterというバックドアが拡散しています。この攻撃は、ユーザーが検索エンジンでこれらのソフトウェアを検索した後、見た目が似ている偽のウェブサイトにリダイレクトされる形で行われます。これらの偽サイトは、正規のソフトウェアを提供しているかのように見せかけますが、実際にはマルウェアの感染チェーンを開始します。
Oysterバックドアは、侵害されたホストから情報を収集し、特定のコマンドアンドコントロールサーバーと通信し、リモートからコードを実行する能力を持っています。このマルウェアは、過去には専用のローダーコンポーネントを介して配信されていましたが、最新の攻撃では直接バックドアが展開されています。この攻撃キャンペーンは、ロシアに関連するグループであるITG23と関連があるとされています。
このような攻撃は、ユーザーが信頼できるソースからのみソフトウェアをダウンロードすることの重要性を改めて浮き彫りにします。また、この攻撃は、サイバーセキュリティの脅威がどのように進化し続けているかを示しています。攻撃者は、ますます巧妙な方法でユーザーを騙し、マルウェアを拡散させています。
このニュースは、サイバーセキュリティの専門家や一般のインターネットユーザーにとって、警戒を怠らないようにするための重要なリマインダーです。また、企業や組織にとっては、従業員に対するサイバーセキュリティ教育を強化し、不正なソフトウェアのダウンロードを防ぐための対策を講じることの重要性を示しています。
さらに、この攻撃は、サイバーセキュリティの規制や政策にも影響を与える可能性があります。政府や規制機関は、このような攻撃を防ぐための新たなガイドラインや規制の導入を検討する必要があるかもしれません。長期的には、サイバーセキュリティの脅威に対抗するための国際的な協力や取り組みがさらに強化されることが期待されます。
このニュースは、サイバーセキュリティの脅威が常に進化していることを示しており、個人ユーザーから大企業まで、すべてのインターネットユーザーが警戒を怠らず、最新のセキュリティ対策を講じることの重要性を強調しています。
from Oyster Backdoor Spreading via Trojanized Popular Software Downloads.
