概要
ハッカーがSEOポイズニングと検索エンジン広告を利用し、偽のMicrosoft Teamsインストーラーを配布していることが判明しました。これらの偽インストーラーは、WindowsデバイスをOysterバックドアに感染させ、企業ネットワークへの初期アクセスを可能にします。
Oysterマルウェアとは
Oysterマルウェアは、BroomstickやCleanUpLoaderとも呼ばれ、2023年半ばに初めて確認されたバックドア型マルウェアです。このマルウェアは、攻撃者に感染したデバイスへのリモートアクセスを提供し、以下の悪質な活動を可能にします。
- コマンドの実行
- 追加ペイロードの展開
- ファイルの転送
Oysterは、これまでにもPuttyやWinSCPなどの人気ITツールを装ったマルバタイジングキャンペーンを通じて拡散されており、Rhysidaのようなランサムウェア運用にも利用されてきました。
今回の攻撃キャンペーンの詳細
Blackpoint SOCが発見した新たなマルバタイジングおよびSEOポイズニングキャンペーンでは、「Teams download」という検索クエリで表示される偽サイトが利用されています。この偽サイトは、MicrosoftのTeamsダウンロードサイトを模倣した「teams-install[.]top」というドメインで運営されています。
ダウンロードリンクをクリックすると、正規のMicrosoftダウンロードと同じファイル名である「MSTeamsSetup.exe」というファイルがダウンロードされます。しかし、この悪意のあるMSTeamsSetup.exeは、「4th State Oy」および「NRM NETWORK RISK MANAGEMENT INC」という企業名でコード署名されており、正規のファイルであるかのように見せかけています。
実行されると、偽インストーラーは「CaptureService.dll」という悪意のあるDLLファイルを「%APPDATA%\Roaming」フォルダにドロップします。さらに、永続化のために「CaptureService」という名前のスケジュールタスクを作成し、11分ごとにこのDLLを実行することで、再起動後もバックドアがアクティブな状態を維持します。
過去の事例と対策の重要性
今回の活動は、過去に観測された偽のGoogle ChromeやMicrosoft TeamsインストーラーがOysterを拡散した事例と酷似しており、SEOポイズニングとマルバタイジングが企業ネットワークへの侵入手段として依然として多用されていることを示しています。
Blackpointは、「この活動は、信頼されたソフトウェアを装ってコモディティバックドアを配信するために、SEOポイズニングと悪意のある広告が継続的に悪用されていることを浮き彫りにしています」と結論付けています。
IT管理者は、特権の高い資格情報へのアクセスを狙われる人気のターゲットであるため、以下の対策を講じることが強く推奨されます。
- ソフトウェアは必ず検証済みのドメインからのみダウンロードする。
- 検索エンジン広告のクリックを避ける。