ALPHV/BlackCat ランサムウェア・アズ・ア・サービス作戦の更新されたアフィリエイトは、被害者のシステムに最初の足場を築くためにマルバタイジング キャンペーンに目を向けています。
Slack や Cisco AnyConnect などの人気のビジネス ソフトウェアの有料広告は、企業の被害者をマルウェアをダウンロードするように誘い込み、ランサムウェアの展開につなげるために使用されています。
被害者は、正規のソフトウェアをダウンロードするのではなく、ランサムウェアの展開に似た第 2 段階の攻撃を開始するために使用できる初期アクセス ペイロードである Nitrogen マルウェアに感染します。
eSentireの脅威対応ユニット(TRU)は、ランサムウェアグループの関連組織が複数回にわたり同社の顧客を標的にしたことを受けて活動を開始したと述べている。
Nitrogen マルウェア キャンペーンは 6 月に初めて確認されましたが、Nitrogen に関連するマルバタイジングの戦術は新しいものです。
「Nitrogenは、Pythonライブラリを利用してステルス性を高める初期アクセス型マルウェアです」と、TRUのシニア脅威インテリジェンス研究者であるキーガン・ケプリンガー氏は報告書の中で述べています。「この足掛かりは、侵入者に標的組織のIT環境への最初の侵入口を提供します。」
ハッカーが最初の足掛かりを築くと、標的を任意のマルウェアに感染させることができます。今回の攻撃キャンペーンでは、標的の被害者はALPHV/BlackCatランサムウェアに感染しています。
Pythonライブラリは非常に普及しているため、攻撃者は組織の通常のトラフィックパターンに容易に溶け込むことができます。難読化技術を追加することで、防御側が悪意のあるアクティビティを発見するのをさらに遅らせることができます。
eSentire社は、BlackCatランサムウェア攻撃が展開される前に阻止したと述べているが、同社は同グループのこれまでの「卑劣な」やり方に対して特別な憤りを抱いている。
このグループは、一部の犯罪者でさえ立ち入り禁止とされる医療分野の被害者を積極的に狙うことで知られているだけでなく、7月には乳がん患者のトップレス画像を投稿して医療ネットワークから金銭を脅迫しようとした。ハンターズ・インターナショナル・グループも最近、同じ手口を繰り返した。
今年同社が買収したとされる他の主要企業には、ソーシャルメディア大手のReddit、セイコーグループ、そしてバーツ・ヘルスNHSトラストなどがある。バーツ・ヘルスNHSトラストもまた、医療業界への攻撃の一例だ。
- クロロックスCISO、数百万ドル規模のサイバー攻撃後に自らトイレへ
- Google Workspace の脆弱性により、平文パスワードの盗難が可能に
- ランサムウェアはかつてないほど効率化しており、悪者は依然としてログを狙っている
- ランサムウェア・ロワイヤル:米国、RoyalとBlackSuitの関連性を確認
このグループは、時間とともに進化し、強化していくという継続的な意欲を示してきました。最近では、アフィリエイトプログラムにOcto Tempestを迎え入れ、英語圏のサイバー犯罪者との提携に関するルールを破りました。
Octo Tempest の SIM スワッピング、SMS フィッシング、および高度な英語圏のソーシャル エンジニアリング キャンペーンに関する専門知識は、BlackCat を誘惑するのに十分であり、その潜在的なターゲットのプールを広げる目的でした。
マルバタイジングの脅威
マルバタイジングはここ数年でサイバー犯罪者の間で人気が高まっており、Google はこの問題に対して積極的にではなく、事後対応的に対処していることが多い。
セキュリティ研究者のウィル・ドーマン氏は今年初め、Xに長文のスレッドを投稿し、検索結果に悪質な広告が表示されるのを防ぐためのGoogleの対策不足を批判した。
これは、暗号通貨インフルエンサーがOBSストリーミングソフトウェアのコピーだと思ってダウンロードしたという、広く報道された事件に続くものです。リンクはマルウェアであることが判明し、その後、NFT(覚えていますか?)ウォレットが襲撃されました。
多くの批判の中には、Google がリンクの表示を承認する前に、自社が所有する VirusTotal プラットフォームでリンクを調べなかったという指摘もあった。
ランサムウェアの犯罪者が医療研究企業の幹部のSIMスワップを仕掛け、盗んだデータを漏洩すると脅迫
続きを読む
ドルマン氏が挙げた多くの例では、検索によって、さまざまなセキュリティベンダーによって検出された既知の悪意のあるペイロードにつながるリンクが表示されました。
今年を通して、多くのマルウェア攻撃キャンペーンがマルバタイジングを利用した攻撃を行いました。HP Wolf Securityの1月のレポートでは、特に2022年末にかけてマルバタイジング活動が著しく増加していることが明らかになりました。
IcedID、BatLoader、Rhadamanthys Stealerなど、検索エンジン広告を利用してペイロードを宣伝する様々なキャンペーンを発見しました。数週間後、SentinelOneは、同じ手法を用いた.NETマルウェアローダーについてコミュニティに警告しました。
最近、マイクロソフトはデジタル防衛レポートの中で、マルバタイジングの多用を通じて Storm-0381 として追跡しているロシアのサイバー犯罪グループによる Magniber の展開を特定しました。®
11月17日に更新され、以下が追加されました:
Googleの広報担当者はThe Registerに対し、「当社のプラットフォーム上で悪質なソフトウェアを含む広告は許可していません。問題の報告を確認し、適切な措置を講じました。悪質な行為者は、当社の検出を回避するために様々な戦術を用いて、より巧妙かつ大規模に活動し続けています」と述べた。
「当社は広告の安全性確保の取り組みに多額の投資を行っており、ポリシーを大規模に施行するために数千人のチームが24時間体制で働いています。」
