概要:OysterLoaderによる深刻な脅威
Rhysidaランサムウェアグループは、欺瞞的な検索エンジン広告を通じてOysterLoaderマルウェアを配布する巧妙なマルバタイジングキャンペーンを展開しています。このマルウェアは、攻撃者に侵害されたデバイスとネットワークへの完全なアクセスを許可します。
Rhysidaギャングの巧妙な手口
2023年にVice Societyから改名したRhysidaギャングは、有料のBing検索広告を利用した危険な感染経路を確立しました。彼らは、PuTTY、Microsoft Teams、Zoomなどの人気ソフトウェアのダウンロードをターゲットにした広告を購入し、ユーザーを偽のランディングページに誘導します。これらのページは、正規のソフトウェアの代わりにマルウェアをダウンロードさせるように設計されています。特に懸念されるのは、これらの悪意ある広告が検索結果で目立つだけでなく、Windows 11のスタートメニューに直接表示される可能性がある点です。
OysterLoaderの役割と攻撃の段階
OysterLoaderは、初期アクセスツールとして機能し、被害者システムに足がかりを確立することを目的としています。一度インストールされると、攻撃者は永続的なバックドアを展開し、デバイスおよび広範なネットワークへの長期的なアクセスを可能にします。この2段階のアプローチは、企業を標的とした攻撃でよく見られる戦術であり、初期アクセスが大規模な侵害の重要な第一歩となります。
キャンペーンの激化とコード署名証明書の悪用
このキャンペーンは2025年6月に開始され、2024年5月から9月にかけて行われた以前のマルバタイジング活動から劇的にエスカレートしています。運用強度の増加は、ギャングが使用したコード署名証明書の数に明らかです。2025年には40以上の証明書が追跡されており、これは初期キャンペーン中のわずか7つと比較して大幅な増加です。これは、この攻撃ベクトルへの持続的な投資とコミットメントを示しています。
検出回避技術
Rhysidaギャングは、検出を回避するために2つの主要な技術を使用しています。
- マルウェアパッカーの使用: マルウェアの機能を圧縮、暗号化、難読化することで、ファイルが最初に遭遇された際の検出率を極めて低く抑えています。セキュリティ分析によると、パッカーされたサンプルは、当初は5つ以下のアンチウイルスエンジンでしかアラートをトリガーせず、検出率は数日経ってからようやく向上します。
- コード署名証明書の悪用: 悪意あるファイルに正当なソフトウェアのような外観を与えるために、コード署名証明書を悪用しています。これにより、ユーザーとオペレーティングシステムが正規に署名されたソフトウェアに置く信頼を悪用しています。
追跡の利点とMicrosoftの対応
ギャングによるコード署名証明書の使用は、皮肉にも防御側に追跡の利点をもたらしました。発行機関によって証明書が失効されると、新しい有効な証明書はキャンペーン活動の再開を示します。Expelは、発見された証明書を失効のために積極的に報告しており、オペレーティングシステムやセキュリティツールがマルウェアをより効果的に識別しブロックするのに役立っています。
おそらく最も懸念されるのは、RhysidaギャングがMicrosoft独自のTrusted Signingサービスを悪用する方法を発見したことです。このサービスは72時間の有効期間を持つ証明書を発行します。ギャングはこのシステムを悪用してファイルを大規模に署名しており、Microsoftはグループに関連する200以上の証明書を失効させるに至りました。これらの失効にもかかわらず、ギャングは活動を続けており、これらの実証済みの攻撃方法を放棄する兆候は見られません。
企業への推奨事項
企業は、ソフトウェアをダウンロードする際に常に警戒し、URLを慎重に確認し、ネットワーク制御を通じてマルバタイジングをブロックすることを検討すべきです。このキャンペーンの成功は、攻撃者が正規のサービスとユーザーの信頼をどのように悪用して、組織を大規模に侵害しているかを浮き彫りにしています。