概要:Office Assistantを狙った大規模サイバー攻撃
中国で広く利用されているAI搭載の生産性ソフトウェア「Office Assistant」を悪用し、ユーザーのトラフィックを乗っ取り、機密情報を窃取する悪質なブラウザプラグインを配布する大規模なマルウェアキャンペーンが発見されました。QiAnXin TechnologyのRedDrip Teamがこの作戦を明らかにし、2024年5月以降活動しており、過去18ヶ月間で中国全土の約100万エンドポイントが侵害されたと報告しています。
攻撃者はOffice Assistantの正規のインフラを利用して、デジタル署名された悪意のあるコンポーネントをロードし、最終的に「Mltab」ブラウザプラグインを配信します。このプラグインは、ブラウジングパターン、訪問したウェブサイト、利用行動などのユーザーデータを組織的に収集し、トラフィックを攻撃者が制御するドメインにリダイレクトします。この悪意のある拡張機能は21万回以上インストールされており、驚くべきことに公式のMicrosoft Edgeアドオンストアで依然として入手可能であり、このキャンペーンの広範囲にわたる影響力と永続性を示しています。
技術的分析:感染経路とマルウェアの仕組み
研究者たちは、2024年5月28日にリリースされたOffice Assistantバージョン3.1.10.1に感染経路を特定しました。以前のバージョン3.1.9.9には存在しなかった悪意のあるダウンローダーロジックが「OfficeAid.Main.exe」に埋め込まれています。このコンポーネントは、コマンド&コントロール(C2)サーバー(ofsd.fh67k.comなど)に接続する前に、仮想マシンやデバッグ環境を検出する対分析チェックを実行します。
攻撃チェーンは、ペイロード配信の複数の段階を含みます。最初のドロッパーは、Office Assistantの公式署名とは異なるデジタル署名を持つ「OfficeTeamAddin.dll」をダウンロードし、次に「OfficeTeam.Installer.dll」をロードします。このコンポーネントは、特定のミューテックスを使用して永続化メカニズムを確立し、C2サーバー(ofsg.fh67k.comなど)に接続して第2段階のペイロードを取得します。最終的なペイロードである「logkit.dll」は、logkit_reportエクスポート関数を通じて実行され、Mltabブラウザプラグインを導入します。このマルウェアは、レジストリキーをクエリしてインストールされているブラウザを特定し、デバイス情報をJSON形式で収集、暗号化し、C2サーバー(of2sg.fh67k.comなど)に送信します。Microsoft Edge、Google Chrome、QQ Browser、Sogou Browser、Lenovo Browser、2345 Browserなど、複数のブラウザが標的となっています。
Mltabプラグインの悪質な機能
「MadaoL Newtab」として販売されているMltabプラグインは、ブラウザの新しいタブページを乗っ取り、広範なトラフィックリダイレクト機能を実現します。「background.js」スクリプトは、固有のユーザー識別子を生成し、ブラウジング活動を継続的にapi.g6ht.comにアップロードします。このプラグインは、C2サーバーからルール構成ファイルを取得し、ターゲットとなるURLを一致させて乗っ取ります。特筆すべきは、この拡張機能が「Baiduで検索」と表示された欺瞞的な右クリックコンテキストメニュー項目を追加し、実際にはユーザーをプロモーション目的の乗っ取りリンクにリダイレクトすることです。
「myload.js」および「new_tab_page.js」コンポーネントは、追跡スクリプトを注入し、cjrx.cjtab.comから「count.html」をロードして活動監視を行い、d.giw36.com/down/MLNewtab.datから置換ルールを取得して、正規のリンクを攻撃者が制御するリダイレクトURLに体系的に置き換えます。このキャンペーンに関連するすべてのC2サーバーは、OpenDNSのトップ100万ドメインリストに含まれており、基本的なブロックリストの回避を容易にしています。
検出と推奨事項
QiAnXinのTianqingエンドポイント保護ソリューションは、Mltab関連コンポーネントを効果的に検出・削除できます。QiAnXinの脅威インテリジェンス製品(TIP、Tianyan、NGSOC、Situation Awareness Platformなど)を利用している組織は、この脅威に対する検出機能にアクセスできます。
中国のOffice Assistantユーザーは、直ちにインストールされているバージョンを確認し、MltabまたはMadaoL Newtabに関連する不正なブラウザ拡張機能がないか確認することが強く推奨されます。