7AIがEDR防御を回避するブラウザ拡張機能キャンペーンを発見

ブラウザ拡張機能キャンペーンは、認証されたブラウザセッションにリモートJavaScriptペイロードを直接注入することで、従来のEDR防御を回避しています。

7AIの研究者は、一見無害なChrome色選択拡張機能から発信される疑わしいアウトバウンドトラフィックを観察した後、CRXfiltrateという操作を発見しました。

研究者によると、このキャンペーンは企業環境全体で活動を続け、複数のセキュリティレイヤーからのアラートをトリガーすることなく、オペレーター制御のペイロードを配信していました。

「これは必要以上に広い権限を持つ色選択ツールとして始まりました」と、7AIのシニアAIセキュリティエンジニアおよび脅威研究者であるジュリアナ・テスタはeSecurityPlanetへのメールで述べています。

彼女は追加で、「16か月後、当社が文書化したものは、85,000以上のインストール数を持つ22拡張機能のネットワーク、60以上のアクティブなオペレータードメイン、ユーザーが訪問するすべてのページ内で実行される文書化されていないJavaScript実行バックドア、および拡張機能がまったくインストールされていなくても被害者に到達する配信パスです」と述べています。

7AIの研究からの重要なポイント

• 認証されたブラウザセッションにJavaScriptペイロードを直接注入することで、従来のEDR防御を回避できる悪意のあるブラウザ拡張機能キャンペーンが発見されました。
• CRXfiltrateキャンペーンは、悪意のある拡張機能を広告ブロッカー、色選択ツール、画面キャプチャツールなどの正当なブラウザユーティリティに偽装していました。
• 拡張機能は、ブラウザセキュリティコントロールを削除し、リモート構成データを通じて攻撃者制御のペイロードを配信することで、Chrome Manifest V3の保護を回避していました。
• インフラストラクチャは、認証情報の盗難、セッション乗っ取り、監視、および認証されたエンタープライズアプリケーションへの攻撃をサポートする可能性がありました。
• キャンペーンは、悪意のある活動の多くが正当なブラウザトラフィックとプロセス内で完全に動作しているため、従来のセキュリティツールの可視性のギャップを露呈しています。

CRXfiltrateブラウザ拡張機能キャンペーンの内部

このキャンペーンは、ブラウザ拡張機能がいかに多くの従来のエンタープライズセキュリティコントロールを回避する能力を持つ強力な攻撃ベクトルになりつつあるかを強調しています。

脅威アクターは、悪意のある拡張機能を広告ブロッカー、画面キャプチャアプリ、フォント検索ツール、色選択ツールなどの正当なツールに偽装していました。

これらのアプリケーションはエンドユーザーには無害に見えましたが、被害者が訪問したほぼすべてのウェブサイトでのアクティビティへのアクセスを許可する広いブラウザ権限をリクエストしていました。

ブラウザ拡張機能の攻撃がどのように機能したか

インストールされると、拡張機能はコアブラウザセキュリティメカニズムを操作して、ステルス性の高いブラウザベースのリモートコード実行環境を作成していました。

7AIの研究によると、悪意のある拡張機能はChrome の declarativeNetRequest APIを活用して、Content-Security-Policy（CSP）およびX-Frame-Optionsヘッダーなどの重要なブラウザ保護をウェブページから削除していました。

これらの保護を削除することで、拡張機能は認証されたブラウザセッション内で直接実行される攻撃者制御のペイロードを取得していました。

研究者は、この技術はリモートコードを構成データとして偽装してから実行可能なブラウザ側ペイロードに変換することで、Chrome Manifest V3の保護を回避していると述べています。

調査により、キャンペーンの主要な観測されたペイロードはGoogle、Bing、Yahooのユーザーを対象とした検索エンジン広告詐欺に焦点を当てていることが判明しました。

研究者は、インフラストラクチャが単純な広告詐欺をはるかに超えた認証情報の盗難、セッション乗っ取り、監視、および認証されたエンタープライズアプリケーションへの攻撃をサポートする可能性があると警告しています。

研究者はまた、一部のペイロード変種内でのID収集の証拠も明らかにしました。

場合によっては、拡張機能はアクティブなブラウザセッションからサインインしているGoogleアカウント名とメールアドレスを収集していました。

ブラウジング テレメトリとユーザー活動データと組み合わせることで、オペレーターは実ユーザーID に関連付けられた詳細なプロファイルを作成する可能性がありました。

ブラウザ拡張機能の信頼と検証に関する懸念

もう1つの懸念される発見はChrome Web Store自体に関連していました。

調査中、研究者は悪意のある動作を示していたにもかかわらず、Googleの「おすすめ」バッジを付けた悪意のある拡張機能を少なくとも1つ特定しました。

拡張機能は別の脅威アクターと関連していましたが、その発見はブラウザ拡張機能検証とマーケットプレイス信頼システムの弱点に関する広範な懸念を提起しました。

従来のセキュリティツールがキャンペーンを見落とした

研究からの最も重要な発見の1つは、キャンペーンが従来のエンタープライズセキュリティツールを回避する能力に関連していました。

研究者は、悪意のある活動は、ドロップされたファイル、疑わしいプロセス、または永続化メカニズムなどの従来のマルウェア動作をトリガーすることなく、正当なブラウザプロセス内で完全に動作していたと述べています。

キャンペーンはEDR、SSL検査、DNSフィルタリング、クラウドWebゲートウェイなど、複数のエンタープライズ防御を回避していました。

研究者は、一部のEDRプラットフォームが悪意のあるインフラストラクチャに関連する疑わしいテレメトリをキャプチャしていましたが、アクティビティはほとんど意味のあるアラートを生成しておらず、アナリストにエスカレーションされたことがなかったことを発見しました。

研究者は、多くの従来のセキュリティツールが正当なトラフィックとJavaScript環境内で動作するブラウザベースの攻撃を検出するのに苦労しているため、この問題はより広い可視性のギャップを反映していると述べています。

悪意のあるブラウザ拡張機能からのリスク軽減

この研究は、ブラウザベースの攻撃がエンタープライズセキュリティチームに新しい可視性と検出の課題をいかに生み出しているかを強調しています。

悪意のあるブラウザ拡張機能は正当なブラウザプロセス内で完全に動作できるため、組織は従来のエンドポイント保護を超えたセキュリティ戦略を拡張する必要があるかもしれません。

• エンタープライズシステム全体のブラウザ拡張機能をインベントリ化し、エンタープライズブラウザポリシーまたはMDMコントロールを使用して、承認されたホワイトリストへのインストールを制限します。
• 広い権限をリクエストする拡張機能を確認し、<all_urls>、ネイティブメッセージングアクセス、またはそれらの記載された機能と一致しない過度なブラウザAPI権限などを確認します。
• ブラウザとネットワークテレメトリを継続的に監視し、疑わしい拡張機能の動作、CSP改ざん、異常なアウトバウンドトラフィック、および既知の侵害の指標を監視します。
• フィッシング耐性のあるMFA、条件付きアクセスポリシー、および特権ユーザーと機密ワークフロー用の分離されたブラウザ環境を使用して、ID保護を強化します。
• インストールされたブラウザ拡張機能の定期的な監査を実施して、危険な更新、発行者の所有権の変更、または新たにリクエストされた権限を特定します。
• 悪意のあるブラウザ拡張機能、偽のユーティリティアプリケーション、およびブラウザベースのフィッシングリスクに関する従業員の認識トレーニングを改善します。
• インシデント対応計画をテストし、ブラウザベースの攻撃に関するシナリオを含む攻撃シミュレーションツールを使用し、プロアクティブな脅威ハンティングを実施します。

これらの対策は、組織がレジリエンスを構築し、ブラウザベースの脅威への露出を減らすのに役立つことができます。

ブラウザベースの攻撃が増加している

CRXfiltrateキャンペーンは、脅威アクターがどのように従来のマルウェア配信に依存するだけでなく、信頼されたブラウザエコシステムをますますひどく悪用しているかを示しています。

エンタープライズと中小企業がブラウザベースのアプリケーションとクラウドサービスに依存するにつれて、ブラウザは認証されたセッションと機密データへのアクセスを求める攻撃者にとって、より魅力的なターゲットになりつつあります。

これらの発見は、正当なブラウザアクティビティ内で動作する脅威を検出するための、より強力なブラウザセキュリティコントロールと改善された監視の必要性を強調しています。

ブラウザベースの脅威が引き続き進化するにつれて、組織はユーザーセッション、アプリケーション、および機密データへのアクセスを保護するのに役立つゼロトラスト戦略に目を向けています。