概要:悪質なMicrosoft Teamsインストーラーによる攻撃
サイバーセキュリティ研究者たちは、悪質な広告と検索エンジン最適化(SEO)ポイズニングを利用して、偽のMicrosoft Teamsインストーラーを配布する巧妙なキャンペーンを確認しました。このインストーラーには、リモートアクセスを窃取する「Oysterバックドア」マルウェアが仕込まれています。
攻撃の手口:偽装されたダウンロードページ
このキャンペーンは、「teams download」といった正規のMicrosoft Teamsダウンロードに関連する検索を行うユーザーを標的にしています。検索結果には、公式のMicrosoftダウンロードページに酷似した詐欺的なスポンサー広告が表示され、被害者は偽装されたウェブサイトにリダイレクトされます。
- 攻撃に利用されたドメインの一例として、
teams-install[.]topが挙げられ、ここから悪質なMSTeamsSetup.exeファイルが配布されました。 - 偽のインストーラーは、正規に見えるように「4th State Oy」や「NRM NETWORK RISK MANAGEMENT INC」といったエンティティのデジタル署名まで含んでおり、基本的なセキュリティチェックを回避し、ユーザーの疑念を減らすように設計されています。
Oysterバックドアの展開と永続化
悪質なインストーラーが実行されると、Blackpoint Cyberによって「Broomstick」とも呼ばれるOysterバックドアが展開されます。これは、永続的なリモートアクセスを目的としたモジュール式の多段階マルウェアです。
- マルウェアは、ユーザーの
%APPDATA%\Roamingディレクトリ内のランダムなフォルダにCaptureService.dllというDLLファイルをドロップします。 - 永続性を維持するため、マルウェアは「CaptureService」という名前のスケジュールタスクを作成し、定期的に
rundll32.exeを実行して悪質なDLLをロードします。 - この手法により、バックドアは通常のWindowsシステムアクティビティに紛れ込み、侵害されたシステムへの長期的なアクセスを維持します。
マルウェアの機能とC2通信
Oysterバックドアは、攻撃者に包括的な機能を提供します。これには、リモートシステムアクセス、ホスト情報の収集、コマンド&コントロール(C2)通信、および追加のペイロードを展開する能力が含まれます。
- このキャンペーン中に、マルウェアが
nickbush24[.]comおよびtechwisenetwork[.]comといった攻撃者が制御するドメインと通信していることが観測されました。 - このキャンペーンは、過去の偽のPuTTY配布キャンペーンと驚くほど類似しており、サイバー犯罪者が信頼されたソフトウェアブランドを武器にして初期システムアクセスを確立する傾向が続いていることを示しています。
組織が講じるべきセキュリティ対策
セキュリティチームは、以下の主要な指標を監視する必要があります。
- 「CaptureService」という名前の新しいスケジュールタスク
- 疑わしいディレクトリからDLLをロードする
rundll32.exeプロセス - 新規登録された、または疑わしいドメインへのネットワーク通信
組織は、いくつかのセキュリティ対策を講じることで自身を保護できます。
- ソフトウェアは、検索結果からではなく、公式ベンダーのドメインからのみダウンロードする。
- 信頼できるソフトウェアのダウンロードには、保存されたブックマークを使用する。
- 署名されていない、または信頼できないインストーラーをブロックするために、ホワイトリスト制御を展開する。
- マルバタイジング(悪質な広告)やSEOポイズニングのリスクについて、ユーザーへのトレーニングを提供する。
このキャンペーンは、攻撃者がいかにユーザーの信頼を悪用し、身近なエンタープライズソフトウェアや検索エンジンの結果を利用して感染の障壁を低くしているかを浮き彫りにしています。マルバタイジング技術とコモディティマルウェアファミリーを組み合わせることで、攻撃者は従来のセキュリティ制御を回避できる効果的な攻撃ベクトルを作り出しています。セキュリティ専門家は、エンタープライズソフトウェアのダウンロードを標的とする、ますます巧妙化するソーシャルエンジニアリング攻撃に対抗するために、ユーザーの意識向上トレーニングと技術的制御の重要性を強調しています。
元記事: https://gbhackers.com/hackers-distribute-malicious-microsoft-teams-build-to-steal-remote-access/