Last Updated on 2024-06-17 18:53 by 荒木 啓介
正規のウェブサイトが侵害され、偽のブラウザ更新のふりをしてWindowsバックドア「BadSpace」を配布する手段として利用されている。この攻撃は、感染したウェブサイト、コマンドアンドコントロール(C2)サーバー、場合によっては偽のブラウザ更新、そしてJScriptダウンローダーを介して被害者のシステムにバックドアを展開する多段階の攻撃チェーンを含む。ドイツのサイバーセキュリティ企業G DATAによる報告によると、このマルウェアの詳細は先月、研究者によって初めて共有された。
攻撃は、WordPressを含むウェブサイトが侵害され、コードが注入されることから始まる。このコードは、ユーザーがサイトを以前に訪れたかどうかを判断するロジックを含み、初めての訪問であれば、デバイス、IPアドレス、ユーザーエージェント、および位置情報を収集し、HTTP GETリクエストを介してハードコーディングされたドメインに送信する。その後、サーバーからの応答により、ウェブページの内容が偽のGoogle Chrome更新ポップアップウィンドウで上書きされ、直接マルウェアまたはJavaScriptダウンローダーがドロップされ、それによってBadSpaceがダウンロードおよび実行される。
キャンペーンで使用されているC2サーバーの分析からは、同じメカニズムを介して拡散されるJavaScriptベースのダウンローダーマルウェアであるSocGholish(別名FakeUpdates)との関連が明らかになった。BadSpaceは、アンチサンドボックスチェックを実施し、スケジュールされたタスクを使用して永続性を確立することに加え、システム情報の収集、スクリーンショットの取得、cmd.exeを使用した命令の実行、ファイルの読み書き、およびスケジュールされたタスクの削除を可能にするコマンドを処理する能力を持つ。
この開示は、eSentireとSucuriが、侵害されたサイトで偽のブラウザ更新の誘いを利用して情報窃盗者とリモートアクセストロイの木馬を配布する異なるキャンペーンについて警告したことに続くものである。
【ニュース解説】
正規のウェブサイトがハッカーによって侵害され、Windowsバックドア「BadSpace」と呼ばれるマルウェアを配布する手段として利用されているという報告があります。この攻撃は、ウェブサイトが侵害され、特定のコードが注入されることから始まります。このコードは、訪問者がサイトに初めて訪れたかどうかを判断し、初回訪問であれば、訪問者のデバイス情報や位置情報を収集して特定のドメインに送信します。その後、偽のGoogle Chromeの更新通知を装ったポップアップが表示され、これを通じてBadSpaceまたはそれをダウンロードするJavaScriptダウンローダーが配布されます。
この攻撃の特徴は、正規のウェブサイトを利用する点にあります。これにより、ユーザーは警戒心を持たずに偽の更新通知に従ってしまう可能性があります。BadSpaceは、システム情報の収集、スクリーンショットの取得、ファイルの読み書き、コマンドの実行など、さまざまな悪意ある活動を行うことができます。
このような攻撃は、ユーザーにとって多大なリスクをもたらします。個人情報の窃盗やシステムの不正利用など、被害は甚大です。また、正規のウェブサイトが攻撃の媒介となることで、ウェブサイトの所有者や運営者にとっても信頼性の低下や損害賠償責任の問題が生じる可能性があります。
この攻撃は、ウェブサイトのセキュリティ対策の重要性を改めて浮き彫りにします。ウェブサイトの所有者や運営者は、定期的なセキュリティチェックや脆弱性の修正、セキュリティ対策の強化に努める必要があります。また、ユーザーに対しては、ソフトウェアの更新は常に公式サイトや公式アプリケーションを通じて行うよう注意を促すことが重要です。
長期的な視点では、このような攻撃手法の進化に対応するため、AIや機械学習を活用したセキュリティ対策の開発が進められることが期待されます。また、サイバーセキュリティ教育の普及により、ユーザー自身がセキュリティリスクを認識し、適切な対策を取れるようになることも重要です。サイバーセキュリティは、技術的な対策だけでなく、人々の意識の向上も求められる分野であることを忘れてはなりません。
from Hackers Exploit Legitimate Websites to Deliver BadSpace Windows Backdoor.
