キャンペーンの概要
Acronis Threat Research Unitは、「TamperedChef」と名付けられた巧妙なグローバルマルバタイジングキャンペーンを明らかにしました。このキャンペーンは、マルウェアを日常的に使用される正規のアプリケーションに偽装し、世界中のシステムを侵害しています。攻撃者はソーシャルエンジニアリング、検索エンジン最適化(SEO)戦術、そして不正に入手したデジタル証明書を駆使してユーザーを騙し、感染マシンへのリモートアクセスと制御を可能にするバックドアをインストールさせます。
TamperedChefはマルウェア配布の進化を示しており、ブラウザ、PDFエディター、電子書籍リーダー、ゲームなどの人気ソフトウェアを模倣した、完全に機能する偽のアプリケーションを提供します。これらのトロイの木馬化されたインストーラーは、米国に登録されたペーパーカンパニーから取得した有効なコード署名証明書を持っており、信頼できるものに見せかけ、セキュリティ検出を回避しています。このキャンペーンは主にアメリカ大陸の組織に影響を与えており、被害者の約80%が米国に集中していますが、そのインフラは複数の大陸と業界にわたってグローバルに展開されています。
産業規模のインフラ
TamperedChefの背後にいる脅威アクターは、ビジネスライクな洗練された手口で活動しており、デラウェア州やワイオミング州などの州に登録された使い捨てのペーパーカンパニーのネットワークを維持しています。Performance Peak Media LLC、Fusion Core Reach LLC、Unified Market Group LLCといったこれらの組織は、合法的な認証局からExtended Validation証明書を取得するための隠れ蓑として機能します。証明書がフラグ付けされたり失効したりすると、オペレーターはすぐに類似の一般的な名前で新しい会社を登録し、新しい資格情報を取得してオペレーションの正当性を維持します。
影響を受けた業界のテレメトリーデータによると、被害者は複数の業界にわたっていますが、医療、建設、製造業に明確な集中が見られます。すべてのダウンロードドメインは「download」をサブドメインとして使用する一貫したパターンに従っており、例えばdownload.allmanualsreader.comやdownload.anyproductmanual.comなどがあります。これらはNameCheapを通じて、アイスランドのプライバシー保護サービスを利用して登録されています。ドメインは1年間の期間でしか登録されておらず、攻撃者はテイクダウン後も迅速にインフラを再構築できます。コマンド&コントロール(C2)サーバーは当初、ランダムなドメイン生成アルゴリズム(DGA)文字列を使用していましたが、最近ではget.latest-manuals.comのようなより認識しやすい名前に移行し、通常のネットワークトラフィックに紛れ込ませています。
Acronisのテレメトリーデータは、医療、建設、製造業がこのキャンペーンに特に高いリスクを抱えていることを示しています。これらの業界では、従業員が高度に専門化された機器の製品マニュアルをオンラインで検索することが頻繁にあり、これこそがTamperedChefが悪意のある広告や最適化された検索結果を通じて悪用する行動パターンです。マニュアルを母国語で見つけることの難しさが、アメリカ大陸の英語圏で被害者が多くなっている理由を説明しているかもしれません。
攻撃チェーンの詳細
攻撃チェーンは、ユーザーが悪意のある広告や操作された検索結果に遭遇し、偽のダウンロードサイトに誘導されることから始まります。インストール後、アプリケーションは完全に正規のものに見え、ライセンス契約や感謝のメッセージが表示され、真正性の錯覚を強めます。しかし舞台裏では、インストーラーがXML設定ファイルをドロップし、スケジュールされたタスクを作成します。これにより、24時間ごとにランダムな遅延で実行される永続性が確立され、検出を回避します。JavaScriptペイロード自体は、オープンソースの難読化ツールを使用して高度に難読化されており、分析を極めて困難にしています。
アクティブになると、バックドアはリモートコード実行、マシンID生成によるシステムフィンガープリント、そしてXOR暗号化とBase64エンコーディングを用いたHTTPS接続を介したコマンド&コントロールサーバーとの暗号化された通信を可能にします。
複数の脅威シナリオ
セキュリティ研究者は、TamperedChefが同時に複数の目的を果たしている可能性が高いと考えています。このキャンペーンは、初期アクセスブローカーとして機能し、侵害されたシステムへのアクセスを他の犯罪グループに利益のために販売している可能性があります。初期段階の配布は以前の報告と類似していますが、この亜種はドロップされたtask.xmlによってシードされたスケジュールされたタスクに永続性を依存している点で際立っています。
医療業界の被害が集中していることから、攻撃者は機密性の高い患者データや認証情報をダークウェブ市場での収益化のために狙っている可能性もあります。永続的なバックドアアクセスは、将来のランサムウェア展開に理想的な条件を提供し、政府機関や研究機関への日和見的なアクセスは、スパイ活動を可能にする可能性があります。タイムライン分析によると、オペレーターは戦術を継続的に適応させています。初期のキャンペーンでは3年間の証明書とDGAパターンをC2サーバーに使用していましたが、度重なる失効を受けて、2025年半ばまでに短命の証明書と人間が読めるドメイン名に移行しており、セキュリティ対策を回避し、運用継続性を維持するための彼らのコミットメントを示しています。