金銭目的サイバー犯罪グループFIN7、偽Google広告でマルウェア配布の新手口を展開

2024年5月11日23:40

FIN7として知られる金銭目的のサイバー犯罪グループが、正規ブランドを装った悪意のあるGoogle広告を利用してNetSupport RATを配布していることが観察された。このグループは、AnyDesk、WinSCP、BlackRock、Asana、Concur、The Wall Street Journal、Workable、Google Meetなどの知名度の高いブランドを模倣した悪意のあるウェブサイトを使用した。FIN7は2013年から活動しており、当初はPoS（Point-of-Sale）デバイスを狙った攻撃で支払いデータを盗むことから始め、その後はランサムウェアキャンペーンを通じて大企業を侵害する方向に転換した。このグループは、BIRDWATCH、Carbanak、DICELOADER（別名LizarおよびTirion）、POWERPLANT、POWERTRASH、TERMITEなど、様々なカスタムマルウェアファミリーを採用してきた。最近数ヶ月では、攻撃チェーンを開始するためにマルバタイジング技術を利用している。2023年12月、Microsoftは攻撃者がGoogle広告を利用してユーザーを誘導し、最終的にPOWERTRASHとNetSupport RATを実行する悪意のあるMSIXアプリケーションパッケージをダウンロードさせていると報告した。MSIXがマルウェア配布ベクトルとして複数の脅威アクターによって悪用されていることから、Microsoftはデフォルトでプロトコルハンドラーを無効にした。eSentireが2024年4月に観察した攻撃では、Google広告経由で偽サイトを訪れたユーザーに偽のブラウザ拡張機能をダウンロードするよう促すポップアップメッセージが表示され、これはシステム情報を収集し、別のエンコードされたPowerShellスクリプトをフェッチするためのリモートサーバーに連絡するPowerShellスクリプトを含むMSIXファイルである。2番目のPowerShellペイロードは、アクター制御サーバーからNetSupport RATをダウンロードして実行するために使用される。eSentireは、このリモートアクセストロイの木馬が、Pythonスクリプトを介してDICELOADERなどの追加マルウェアを配布するために使用されていることも検出した。

【ニュース解説】

FIN7として知られる金銭目的のサイバー犯罪グループが、Google広告を悪用してNetSupport RAT（リモートアクセストロイの木馬）を配布していることが明らかになりました。このグループは、AnyDeskやWinSCP、BlackRockなどの有名ブランドを装った偽のウェブサイトを通じて、悪意のあるMSIXインストーラーを配布し、最終的にNetSupport RATを実行する手法を採用しています。

FIN7は2013年から活動しており、当初はポイントオブセール（PoS）デバイスを狙った攻撃で支払いデータを盗むことから始めましたが、その後ランサムウェアキャンペーンを通じて大企業を侵害する方向に転換しました。このグループは、BIRDWATCH、Carbanak、DICELOADER（別名LizarおよびTirion）、POWERPLANT、POWERTRASH、TERMITEなど、様々なカスタムマルウェアファミリーを採用してきました。

最近では、マルバタイジング（悪意のある広告）技術を利用して攻撃チェーンを開始する手法が観察されています。特に、Microsoftは2023年12月に、攻撃者がGoogle広告を利用してユーザーを誘導し、悪意のあるMSIXアプリケーションパッケージをダウンロードさせることで、POWERTRASHとNetSupport RATを実行させていると報告しました。MSIXファイルがマルウェア配布のベクトルとして悪用されていることから、Microsoftはデフォルトでプロトコルハンドラーを無効にする措置を取りました。

eSentireが2024年4月に観察した攻撃では、Google広告経由で偽サイトを訪れたユーザーに偽のブラウザ拡張機能をダウンロードするよう促すポップアップメッセージが表示され、これはシステム情報を収集し、別のエンコードされたPowerShellスクリプトをフェッチするためのリモートサーバーに連絡するPowerShellスクリプトを含むMSIXファイルでした。2番目のPowerShellペイロードは、アクター制御サーバーからNetSupport RATをダウンロードして実行するために使用されます。

このような攻撃手法は、正規のブランドや広告プラットフォームの信頼性を悪用することで、ユーザーを騙してマルウェアをダウンロードさせるという点で非常に巧妙です。ユーザーは、信頼できるブランドからの広告であっても、ダウンロードする前にその正当性を慎重に確認する必要があります。また、企業は自社のブランド名が不正に使用されることを防ぐための対策を講じるとともに、広告プラットフォームはこのような悪意のある広告が配信されないように厳格な監視体制を整える必要があります。

この攻撃は、サイバーセキュリティの脅威が進化し続けていることを示しており、個人ユーザーから大企業まで、幅広い対象が標的になり得ることを意味します。セキュリティ対策の強化と、最新の脅威情報に対する意識の高さが、これらの攻撃を防ぐ上で重要です。

from FIN7 Hacker Group Leverages Malicious Google Ads to Deliver NetSupport RAT.