概要:正規ツールを装う悪意あるソフトウェア
ハッカーは、SEO(検索エンジン最適化)ポイズニングの手法を悪用し、正規ツールを装った悪意あるソフトウェアをユーザーにダウンロードさせる手口を展開しています。この攻撃キャンペーンでは、検索結果を操作して偽のリポジトリやアーカイブを宣伝し、人気のあるアプリケーションになりすましたBAT実行ファイルを配布しています。
攻撃の手口:多段階の感染プロセス
ユーザーが悪意あるファイルを一度実行すると、マルウェアはコマンド&コントロール(C2)サーバーと接続を確立し、攻撃者にシステムへの完全なアクセスを許可するリモート管理ツールを含むセカンダリペイロードを配信します。ユーザーがこれらの検索結果をクリックすると、正規のダウンロードサイトを模倣するように設計された悪意あるホスティングインフラに誘導されます。
これらのプラットフォームでホストされているZIPアーカイブには、ユーザーが開くと自動的に実行されるバッチスクリプトであるBATファイルが含まれています。これらのBATファイルは、有名アプリケーションやユーティリティになりすますよう巧妙に作成されています。実行中に、スクリプトは攻撃者が制御するC2サーバーに接続し、追加のペイロードを取得します。
このキャンペーンは、特定のソフトウェアソリューションを積極的に検索しているユーザーを標的とした多段階の感染プロセスを示しています。脅威アクターは、不正なページやリポジトリを作成することで検索インデックスを汚染し、検索結果で上位に表示させます。この2段階のアプローチにより、攻撃者は攻撃戦略において柔軟性を保ち、目的やターゲットシステムの構成に応じて異なるリモート管理ツールやマルウェアの亜種を展開できます。
リポジトリの悪用とZIP圧縮
攻撃者は、正規のオンラインリポジトリと偽のリポジトリの両方を悪用して、悪意あるアーカイブをホストしています。侵害された正規サービスであろうと、新たに作成された不正なサービスであろうと、リポジトリプラットフォームを活用することで、脅威アクターは提供物の信頼性を高めます。オープンソースツールやユーティリティを探しているユーザーは、これらが本物のリソースであると誤解し、意図せずにこれらの汚染されたリポジトリからダウンロードしてしまう可能性があります。
また、ZIP圧縮の使用はペイロードの真の性質を隠蔽します。ユーザーは、リポジトリからダウンロードしたアーカイブファイルがセキュリティシステムによって検証済みであると信じ、しばしば信頼します。しかし、これらのアーカイブ内のBATファイルが実行されると、感染がシステムに根付いた後に初めてマルウェアの機能が明らかになります。
攻撃の識別と防御策
この攻撃キャンペーンには、セキュリティ研究者が侵害されたシステムを特定するために使用できるいくつかの特徴的な要素が組み込まれています。
- ZIPアーカイブ名は通常、正規のソフトウェア配布と酷似しており、一見すると本物に見えます。
- BATファイル内では、セキュリティ警告をトリガーしないように難読化や正規のシステムコマンドが使用されています。
- 実行時には、これらのスクリプトは攻撃者のインフラにネットワーク要求を行い、永続化メカニズムを確立し、リモート管理ツールをダウンロードします。
組織および個人のユーザーは、この脅威を軽減するためにいくつかの対策を講じる必要があります。
- ダウンロード元を検証する:ソフトウェアを見つけるために検索結果に頼るのではなく、公式プロジェクトのウェブサイトを直接訪問してください。
- ダウンロードしたファイルを検査する:特に見慣れないソースからダウンロードしたファイルは、実行前にセキュリティツールを使用して検査してください。
- アプリケーションのホワイトリストポリシーを実装する:不正なBATファイルや実行ファイルの実行を防ぐために、アプリケーションのホワイトリストポリシーを導入してください。
- EDRソリューションとネットワーク監視:EDR(Endpoint Detection and Response)ソリューションは、疑わしいBATファイルの実行、Windowsスクリプトによって開始された異常なネットワーク接続、および不正なリモートアクセスツールのインストールを監視する必要があります。ネットワークセキュリティチームは、既知のC2インフラをブロックし、ユーザーワークステーションからのアウトバウンド接続を監視して、悪意ある通信の兆候がないか確認する必要があります。
- セキュリティ意識向上トレーニング:セキュリティ意識向上トレーニングは、ダウンロード元を検証することの重要性や、信頼できないソースからファイルをT実行することのリスクを強調すべきです。
このSEOポイズニングキャンペーンは、検索ベースのソーシャルエンジニアリング攻撃がもたらす永続的な脅威を浮き彫りにしています。攻撃者は、合法的に見える配信メカニズムと悪意のあるペイロードを組み合わせることで、初期偵察とシステム侵害との間のギャップを効果的に埋めています。