悪意のあるダウンロードを偽のブラウザ更新として偽装するサイバー犯罪者の増加が、セキュリティ研究者によって発見されている。
何年も前に登場したSocGholishマルウェアが採用した戦術の成功を模倣して、Proofpointの研究者は、偽のブラウザ更新の誘いを模倣するサイバー犯罪者が増えていることに注目している。
研究者たちは5年以上にわたりSocGholishを追跡してきました。過去5ヶ月間で、さらに3つの大規模なキャンペーンが出現しました。いずれも類似したルアーを使用していますが、配信するペイロードはそれぞれ異なります。
懸念されるのは、現在はマルウェアを投下するだけであるにもかかわらず、こうしたキャンペーンの急増が初期アクセス・ブローカーに恩恵をもたらし、エンドユーザーをランサムウェアに感染させる効果的なルートを提供してしまう可能性があることだ。
SocGholishは、ブラウザアップデートを悪用した最も古い大規模キャンペーンです。一般的にTA569によるものとされています。8月には、インシデントの4分の1以上(27%)でマルウェアの配信に利用されていたことが明らかになりました。マルウェア攻撃の80%を占める上位3つのマルウェアローダーの1つでした。
同社は昨年、攻撃者がサイトに提供されていたJavaScriptコードベースを操作し、数百の米国のニュースサイトにマルウェアを送り込んだ事件でも関与している。
典型的な攻撃シナリオでは、Google ChromeブラウザがSocGholishの被害者に誘惑する
RogueRaticate キャンペーン (別名 FakeSG) は 2023 年 5 月に Proofpoint によって発見されましたが、その活動は 2022 年 11 月にまで遡る可能性があります。
これは、SocGholish 以来初めて出現した大規模な偽のブラウザ更新キャンペーンであり、通常は被害者のマシンに NetSupport RAT がインストールされることになります。
1 か月後の 6 月に、SmartApeSG としても知られる ZPHP キャンペーンの最初の活動が発見され、8 月に Trellix によって最終的に公表されました。
SentinelOne によると、RogueRaticate と同様に、ZPHP もほとんどの場合 NetSupport RAT のインストールを引き起こし、NetSupport RAT は 2017 年頃からマシンに感染しているという。
4つのキャンペーンの中で最も新しいのはClearFakeで、7月に初めて発見され、8月に研究者のランディ・マケオイン氏によって公表された。
Proofpoint は、ClearFake を、インフォスティーラーマルウェアを投下し、ユーザーのブラウザだけでなく言語によってもおとりをカスタマイズしてターゲットのプールを拡大する攻撃キャンペーンであると特徴づけました。
ClearFakeブラウザ更新攻撃で使用される多言語ルアー
攻撃の実行方法
各キャンペーンは、ルアーと最後にマルウェア ペイロードを配信する方法が若干異なりますが、3 段階の構造に従う傾向があり、ユーザーのマシンとブラウザーに基づいてルアーをカスタマイズします。
第一段階では、正規のウェブサイトが侵害され、悪意のあるコードが注入されます。第二段階では、ルアーと、攻撃者が管理するウェブサイトとユーザーの間でやり取りされるトラフィックが、発見されないようにフィルタリングされます。第三段階では、最終的なペイロードが配信されます。
SocGholishの運営者であるTA569は、攻撃の第1段階から第2段階への移行に3つの異なる手段を用いています。そのうち2つは異なるトラフィック分散システム(TDS)を使用し、もう1つはJavaScriptの非同期スクリプトリクエストを使用してトラフィックをルアーのドメインに誘導するものです。
RogueRaticate と ClearFake は、第 2 段階に到達した場合にのみ TDS を使用するため、キャンペーン間の違いが強調されます。
- 米国のサイバー警察は、Confluenceの混乱が続く中、管理者にパッチ適用を促している
- もうeカンザスではない:州裁判所は「無許可の侵入」に動揺
- BLOODALCHEMYは東南アジア諸国の秘密への裏口を提供している
- MOVEitの侵害後、規制当局、保険会社、顧客がプログレスに打撃を与える
攻撃が成功した理由
プルーフポイント社は、この攻撃が成功したのは、ほとんどの人が受けているサイバーセキュリティのトレーニングを理解し、それを利用して、エンドユーザーが合法的なドメインやブランドに対して本来抱いている信頼感につけ込む攻撃を仕掛けたためだと述べた。
「セキュリティ意識向上トレーニングでは、ユーザーは既知の信頼できるサイトや個人からの更新のみを受け入れたり、リンクをクリックしたりすること、そしてサイトが正当なものであることを確認するように指示されている」と同社はブログ投稿で述べた。
偽のブラウザアップデートは、信頼できるサイトを侵害し、JavaScriptリクエストを利用してバックグラウンドで密かにチェックを行い、既存のウェブサイトをブラウザアップデートのルアーで上書きすることで、このトレーニングを悪用します。エンドユーザーにとっては、アクセスしようとしていたウェブサイトと同じように見え、ブラウザのアップデートを促しているように見えます。
研究者らは、ソーシャルエンジニアリングの要素を使用しているにもかかわらず、4つのキャンペーンのいずれでもフィッシングはあまり使用されていないと指摘している。攻撃者は侵害されたサイトへのリンクを含むメールを直接送信しているわけではなく、通常のオンライン活動の過程で人々がメールでリンクを共有しているのだ。
組織にとって、これは脅威が電子メールベースのものだけではないことを意味します。たとえば、ユーザーは検索エンジンによって返されたリンクをクリックすることで、侵害されたサイトにたどり着く可能性があります。
Proofpoint は、ネットワーク検出およびエンドポイント保護ツールを含む多層セキュリティ戦略と、脅威についてユーザーを教育する強力なセキュリティ認識プログラムに頼ることをアドバイスしています。
侵害の兆候 (IOC) を監視することは、マルウェア攻撃を阻止するための有効な戦術となることがよくありますが、攻撃キャンペーンがインフラストラクチャとペイロードの詳細を頻繁に変更するため、これに頼るのは難しい場合があります。®
