ーTech for Human Evolutionー

最新ニュース一覧

人気のカテゴリ

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーと社会
ロボティクス
ヘルスケア
ブロックチェーン
半導体
もっと見る

人気のタグ

著作権 今日は何の日 インタビュー Google Apple AWS OpenAI Anthropic Meta Microsoft XREAL Android_XR Nvidia

ホーム » サイバーセキュリティ » サイバーセキュリティニュース »

悪意の広告からの脅威、Nitrogenマルウェアがビジネスを狙う

悪意の広告からの脅威、Nitrogenマルウェアがビジネスを狙う - innovaTopia - (イノベトピア)

Last Updated on 2024-07-06 08:09 by 門倉 朋宏

Nitrogenと名付けられたキャンペーンとそれに関連するマルウェアが、悪意のある検索広告を通じて配布されています。このマルウェアは、PythonとDLLサイドローディングを使用して攻撃者のコマンド&コントロールサーバーに接続することが特徴です。最近のNitrogenキャンペーンでは、初期ペイロードが被害者にどのように提供されているかに焦点を当てています。脅威アクターは、すでに悪意のあるPHPシェルスクリプトでハッキングされた多くのWordPressサイトにペイロードをホスティングすることを好む傾向があります。また、ウェブベースの攻撃の増加に伴い、マルバタイジングとランサムウェアの関連性についても検討しています。

悪意のある広告は、ITおよびシステム管理者が使用するプログラムに関連する人気の検索用語をGoogleで検索した際に表示されます。これらの広告は、以前の履歴を持つが期限切れになったドメイン名に添付されており、脅威アクターが登録し、ドメイン名の年齢を見ることによる一部のセキュリティチェックを回避することを可能にしています。

Nitrogenは、署名された実行可能ファイルを介してDLLサイドローディングを使用してペイロードを起動し、%appdata%の下に新しく作成されたフォルダーからPythonを実行します。実行されるPythonファイルは大幅に難読化されています。ThreatDownは、この悪意のある活動を検出し、悪意のあるPythonファイルを隔離します。このステップでペイロードをブロックすることは、それ以外の場合はコマンド&コントロールサーバーに接触するポイントであるため、重要です。

Nitrogenに関連するランサムウェアとの既知の接続は、ビジネスにとって深刻な脅威となっています。コンプロマイズされたマシンにアクセスを得た脅威アクターは、Sliverなどの敵対エミュレーションフレームワークツールを展開し、その後にALPHV/BlackCatとして知られるランサムウェアをドロップします。多くのビジネスは、悪意のある広告に対して適切に保護されていません。これは、エンドポイントにインストールされたツールやセキュリティソフトウェアに反映されており、しばしばスパムやフィッシングメールに焦点を当てています。脅威アクターはこのことをよく知っており、2022年後半からオンライン広告をマルウェアの配信ベクトルとして大量に使用しています。私たち自身の追跡されたインシデントからの統計に基づくと、2023年夏以降、報告されたインシデントの増加を見ています。

ThreatDownは、ウェブベースおよびマルウェアブロッキング機能のおかげでネットワークを保護します。広告からのトラフィックを犯罪者が使用するインフラストラクチャをブロックする能力は、マルウェアがエンドポイントに到達するのを避けるために重要です。

【ニュース解説】

最近、Nitrogenと名付けられたキャンペーンとそれに関連するマルウェアが、悪意のある検索広告を通じて配布されていることが報告されました。このマルウェアは、PythonとDLLサイドローディングを駆使して攻撃者のコマンド&コントロールサーバーに接続することが特徴です。特に、初期ペイロードが被害者にどのように提供されるかに焦点を当てた最新のキャンペーンが注目されています。脅威アクターは、すでに悪意のあるPHPシェルスクリプトでハッキングされたWordPressサイトを好んでペイロードのホスティングに使用していることが明らかになりました。

このマルウェアの配布方法は、ITおよびシステム管理者が使用するプログラムに関連する人気の検索用語でGoogle検索を行った際に表示される悪意のある広告を介しています。これらの広告は、期限切れになったが以前は活動していたドメイン名に添付されており、脅威アクターが新たに登録することで、ドメインの年齢を基にしたセキュリティチェックを回避しています。

Nitrogenマルウェアは、署名された実行可能ファイルを介してDLLサイドローディングを利用し、%appdata%の下に新しく作成されたフォルダーからPythonを実行することでペイロードを起動します。実行されるPythonファイルは大幅に難読化されており、この悪意のある活動を検出し、悪意のあるPythonファイルを隔離するThreatDownのようなセキュリティソリューションが重要な役割を果たします。

Nitrogenがランサムウェアとの接続で知られていることは、ビジネスにとって深刻な脅威をもたらします。コンプロマイズされたマシンにアクセスを得た脅威アクターは、Sliverなどの敵対エミュレーションフレームワークツールを展開した後、ALPHV/BlackCatとして知られるランサムウェアをドロップします。多くのビジネスが悪意のある広告に対して適切に保護されていないことが、この脅威の拡大に拍車をかけています。

このような攻撃からネットワークを保護するためには、ウェブベースおよびマルウェアブロッキング機能を備えたセキュリティソリューションが不可欠です。特に、広告からのトラフィックを犯罪者が使用するインフラストラクチャをブロックする能力は、マルウェアがエンドポイントに到達するのを避けるために重要となります。このようなセキュリティ対策は、ビジネスが直面するサイバーセキュリティの脅威に対してより強固な防御を構築するために不可欠です。

from Nitrogen shelling malware from hacked sites.

投稿者アバター
admin
自己紹介の全文を表示
読み込み中…
読み込み中…