サイバーニュース.jp

世界のサイバーなニュースを配信

ハッカーが武器化されたMicrosoft Teamsインストーラーを悪用し、Oysterマルウェアを展開

カテゴリ:

, , , , , , , , ,

概要:巧妙なマルバタイジングキャンペーン

サイバーセキュリティ専門家による最近の調査で、ハッカーが武器化されたMicrosoft Teamsインストーラーを悪用し、危険なOysterマルウェアを展開する巧妙なマルバタイジングキャンペーンが明らかになりました。この攻撃は、脅威アクターの戦術における憂慮すべき進化を示しており、SEOポイズニング、証明書悪用、およびLiving-off-the-land(LoL)技術を組み合わせて、従来のセキュリティ対策を回避しています。

Microsoft Defenderによる阻止

この攻撃は2025年9月25日に初めて対処され、Microsoft Defenderの攻撃表面減少(ASR)ルールが、新しく実行されたファイルからの疑わしいアウトバウンド接続を正常にブロックしました。この重要な介入により、壊滅的な侵害が防がれ、適切に構成されたエンドポイント保護ポリシーの重要性が浮き彫りになりました。

調査では、被害者が正規のBing検索から悪意のあるインフラストラクチャにわずか11秒でリダイレクトされるという、驚くほど速い攻撃シーケンスが判明しました。これは、手動でのユーザー操作には速すぎる時間枠であり、高度な自動リダイレクトメカニズムを示唆しています。

攻撃チェーン:検索から侵害まで

脅威アクターは、Microsoft Teams関連のクエリの検索結果に悪意のあるサイトを配置するマルバタイジングから始まる多段階のアプローチを採用しました。Teamsのダウンロードを検索する被害者は、慎重に構築されたチェーンを通じて自動的にリダイレクトされました:Bing検索 → team.frywow.com → teams-install.icu。

悪意のあるドメイン「teams-install.icu」は、正規のMicrosoftプロパティに見せかけるように特別に作成され、Cloudflareインフラストラクチャ(IP範囲:104.21.x.x、172.67.x.x)でホストされ、CDNの信頼された評判を悪用していました。このドメインはGoogle Trust Servicesからの有効なSSL証明書を特徴としていましたが、わずか2日間(2025年9月24日~26日)という異常に短い有効期間でした。

このキャンペーンを特に巧妙にしているのは、脅威アクターが正規のコード署名サービスを悪用している点です。悪意のあるMSTeamsSetup.exeファイルは、「KUTTANADAN CREATIONS INC.」からの有効な証明書でデジタル署名されており、Microsoft ID Verified CS EOC CA 01証明書チェーンを使用していました。この証明書はわずか2日間という極めて短い有効期間を持っており、攻撃者が短命の正規証明書を取得して署名ベースのセキュリティ制御を回避しつつ、証明書失効の期間を最小限に抑えるという新たな脅威パターンを示しています。セキュリティ研究者は、「Shanxi Yanghua HOME Furnishings Ltd」などの署名者を含む関連キャンペーンで同様の証明書が使用されていることを特定しており、連携した作戦を示唆しています。

Oysterマルウェアのペイロード

武器化されたインストーラーは、Oysterバックドア(BroomstickまたはCleanUpLoaderとしても知られる)の亜種を展開するように設計されていました。この高度なマルウェアファミリーは、永続的なバックドアアクセスを確立し、データ窃取を実行し、追加のペイロードを展開し、潜在的にランサムウェアの展開を促進する能力を持っています。

攻撃タイムラインは、マルウェアが実行直後にnickbush24.comとのコマンド&コントロール通信を確立しようとしたことを示しています。しかし、Microsoft DefenderのASRルールがこの重要な接続を正常にブロックし、損害が発生する前に脅威を効果的に無力化しました。

調査では、Living-off-the-land技術の使用が明らかになり、マルウェアは正規のWindowsユーティリティを利用して検出を回避していました。14:20:21に、cleanmgr.exeが一時フォルダにDismHost.exeを作成しているのが観測されました。これは、攻撃者が正規のシステムプロセスを悪用する創造的な方法を見つけ続けていることを示す疑わしい活動パターンです。

企業セキュリティのための重要な教訓

このインシデントは、攻撃者が従来のセキュリティ対策を回避するために、その技術を継続的に進化させていることを示しています。検索から感染まで15秒未満でユーザーを侵害できる現代のマルバタイジングキャンペーンの速度は、プロアクティブな防御策の極めて重要な重要性を強調しています。適切に構成されたASRルールを通じて達成された成功した阻止は、多層防御アプローチが高度な脅威に対して依然として効果的であることを証明しています。しかし、脅威アクターが短命の証明書を武器化してセキュリティ制御を回避できる場合、組織は署名ベースの検出だけに頼ることはできません。

企業セキュリティチームは、行動ベースの検出システムの実装、ASRルール構成の定期的な見直しと更新、および新たな攻撃パターンが重大な損害を引き起こす前に特定するための堅牢な脅威インテリジェンスプログラムの維持を優先すべきです。

侵害の痕跡(IOCs)

ドメイン指標

  • teams-install[.]icu: 悪意のあるペイロード配信サイト
  • team[.]frywow[.]com: リダイレクト/ゲートインフラストラクチャ
  • witherspoon-law[.]com: リダイレクト/ゲートインフラストラクチャ
  • Nickbush24[.]com: C2サーバー

ファイル指標

  • MSTeamsSetup.exe: 悪意のある実行ファイルの名前
  • bd6ad2e1b62b2d0994adf322011f2a3afbb14f097efa3cbe741bc4c963e48889: 悪意のあるファイルのSHA256
  • KUTTANADAN CREATIONS INC.: 証明書署名者

元記事: https://gbhackers.com/hackers-exploit-weaponized-microsoft-teams-installer-to-deploy-oyster-malware/

投稿をさらに読み込む