最近の脅威インテリジェンスの調査によると、「TamperedChef」と呼ばれる大規模なマルウェアキャンペーンは、PDFエディタ、カレンダーツール、ファイルコンバータなどの改ざんされた生産性アプリケーションを利用して、情報スティーラーおよびリモートアクセストロイの木馬(RAT)を静かに配布しています。
セキュリティ研究者は、CL-CRI-1089、CL-UNK-1090、CL-UNK-1110を含む、この進化する脅威に関連する複数のアクティビティクラスタを特定しました。
これらのキャンペーンは共通のインフラストラクチャと行動上の類似性を共有していますが、分析者は単一の脅威アクターではなく異なるグループによって操作されている可能性があると注意しています。
2024年以降、100を超えるバリアントにわたる4,000以上のマルウェアサンプルが観察されています。
これらのサイトは、プロフェッショナルなデザイン、法的免責事項、および動作するアプリケーションを備えた実際のサービスを模倣することが多いです。
一般的なアドウェアまたは望まれないプログラム(PUP)と異なり、これらの悪意あるアプリは期待される機能を提供しながら、悪意あるコンポーネントを秘密裏に組み込みます。
多くは合法的なコード署名証明書を使用してデジタル署名されており、その信頼性を高め、セキュリティ制御をバイパスするのに役立ちます。
Unit42がGBhackersと共有したレポートで述べています、TamperedChefマルウェアは、ユーザーを一見合法的なソフトウェアをホストしている説得力のあるウェブサイトにリダイレクトする悪意のある広告を通じて配布されています。
インストール後、アプリケーションはスケジュールされたタスクまたはレジストリ修正を通じて永続性を確立します。また、基本的なシステム情報を収集し、コマンドアンドコントロール(C2)サーバーと通信します。
TamperedChefマルウェア署名付きアプリに隠れる
TamperedChefマルウェアの重要な機能は、その遅延した活性化です。悪意あるペイロードを即座に実行する代わりに、ソフトウェアは数週間または数ヶ月間休止状態を保つことができます。
2023年に開始されたTamperedChefスタイルのマルウェアキャンペーン。これらの悪意あるプロダクティビティアプリケーションキャンペーンには、AppSuite PDF、Calendaromatic、JustAskJacky、CrystalPDFが含まれます。
これにより、検出率が大幅に低下し、攻撃者がサンドボックス分析とエンドポイント防御を回避できます。
休止期間の後、マルウェアは第2段階のペイロードを取得します。これらは一般的に以下を含みます:
- ブラウザの認証情報とセッションデータを対象とする情報スティーラー。
- 完全なシステム制御を可能にするリモートアクセストロイの木馬。
- トラフィックリレーと収益化のためのプロキシツール。
- ブラウザハイジャッカーおよびアドウェアコンポーネント。
このステージド方式により、TamperedChefは従来のアドウェアよりも大幅に危険になります。
Calendaromaticの運用者:PDFPrimeおよびManualzPDF。PDFPrimeとManualzPDFの両方のキャンペーンは著しい類似性を共有し、おそらくコードベースを共有しています。
研究者は、これらのキャンペーンに関連する81以上のユニークなコード署名エンティティを特定しました。多くの場合、攻撃者は複数のマルウェアバリアント全体で証明書を再利用し、調査官がサンプル間の関係をマッピングできるようにしました。
CL-CRI-1089クラスタだけで、3,300以上のサンプルと34の一意の証明書に関連付けられています。
一方、CL-UNK-1090は、マルウェア開発と広告インフラストラクチャを組み合わせた、より高度なモデルを示しています。このグループは、コード署名企業と広告配信ネットワークの両方を制御しているようであり、大規模な悪意のある広告操作を可能にしています。
例えば、ドメイン「onezipapp[.]com」に関連する1つのキャンペーンは、単一の広告エンティティに関連する数千の広告を通じて宣伝されました。
キャンペーン全体で、研究者は偽のプロダクティビティツールを配布するために使用される20,000以上の悪意のある広告を観察しました。
テレメトリは、TamperedChefキャンペーンがグローバルに分布しており、特定の業界をターゲットにしない複数の地域のユーザーに影響を与えていることを示しています。
米国とイスラエルではより高いアクティビティが観察されていますが、感染は広がっています。
研究者は、監視されている環境全体で約12,000の感染インスタンスと推定しており、広範で日和見的な配布戦略を示唆しています。
TamperedChefサンプルは、ブラウザの修正またはデータ収集を開示するエンドユーザーライセンス契約(EULA)によって強化された、広告サポートソフトウェアとして自分たちを提示することが多いです。しかし、それらの動作は明らかにマルウェアの領域に入ります。
これらのアプリケーションは、リモートコマンドを実行し、機密データを流出させ、ユーザーの同意なしに追加のペイロードを展開します。合法的なアドウェアに関連しない機能です。
検出の課題
合法的な外観、署名付きバイナリ、遅延実行、モジュール式ペイロード配信の組み合わせにより、TamperedChefは検出が困難になります。
セキュリティチームは以下を実施することをお勧めします:
- 異常なスケジュール済みタスクとレジストリ永続性を監視します。
- あまり知られていないパブリッシャーからの署名付きバイナリを検査します。
- 疑わしいC2インフラストラクチャへの送信接続を追跡します。
- 信頼できないソースからのソフトウェアインストールを制限します。
- 疑わしい侵害後に認証情報をリセットし、ログを確認します。
エンドポイント検出と応答(EDR/XDR)ソリューションとセキュアなエンタープライズブラウザは、エクスポーザを軽減するのに役立ちます。
攻撃者が広告エコシステムとソフトウェアトラストメカニズムを引き続き悪用するため、TamperedChefスタイルのキャンペーンは持続し進化すると予想され、将来の大規模なマルウェア配布操作のブループリントとなる可能性があります。
侵害の指標
| 署名者 | 関連クラスタ |
| CANDY TECH LTD | CL-UNK-1090 |
| G.R.CIGAR. LTD | CL-UNK-1090 |
| TAU CENTAURI LTD | CL-UNK-1090 |
| AMARYLLIS SIGNAL LTD | CL-UNK-1090 |
| METROPOLITAN DESIGN LLC | CL-UNK-1090 |
| BLACK INDIGO LTD | CL-UNK-1090 |
| Red Root LTD | CL-UNK-1090 |
| A1A Marketing Ltd. | CL-UNK-1090 |
| GOLD HARMONY LTD | CL-UNK-1090 |
| BEGONIA LIFE LTD | CL-UNK-1090 |
| SAMBUSAK LLC | CL-UNK-1090 |
| ACTIVE INTELLECT AI LLC | CL-UNK-1090 |
| VAST LAKE LTD | CL-UNK-1090 |
| LONG SOUND LTD | CL-UNK-1090 |
| B.L.A ASPIRE LTD | CL-UNK-1090 |
| VANILLA FORCE LTD | CL-UNK-1090 |
| SELA LINES LTD | CL-UNK-1090 |
| WIND TRUST LTD | CL-UNK-1090 |
| BLUE TAKIN LTD | CL-UNK-1090 |
| ORCHID MARS LTD | CL-UNK-1090 |
| ENIGMATIC SAOLA LTD | CL-UNK-1090 |
| TROPICAL RIFF LTD | CL-UNK-1090 |
| BITTERN SKY LTD | CL-UNK-1090 |
| astro bright ltd | CL-UNK-1090 |
| my tech media ltd | CL-UNK-1090 |
| LIGHTNER TOK LTD | CL-UNK-1090 |
| TOGO NETWORKS LTD | CL-UNK-1090 |
| CHRONO ORION LTD | CL-UNK-1090 |
| LOGOS AQUA LTD | CL-UNK-1090 |
| Impresan Solutions OÜ | CL-UNK-1090 |
| Shopcut LLC | CL-UNK-1090 |
| Judy Wanjiru | CL-UNK-1090 |
| Keen Internet Technologies Ltd | CL-UNK-1090 |
| ROYAL STEP LTD | CL-UNK-1090 |
| Smart Contract LLC | CL-UNK-1090 |
| DORNOVI LTD | CL-UNK-1090 |
| Green Topaz Ltd | CL-UNK-1090 |
| LOGOS AQUA LTD | CL-UNK-1090 |
| SPARROW TIDE LTD | CL-UNK-1090 |
| mania tech ltd | CL-UNK-1090 |
| PASTEL CONCEPTION LTD | CL-UNK-1090 |
| Mainstay Crypto LLC | OneBrowser署名者 |
| Crowd Sync LLC | OneBrowser署名者 |
| WORK PRODUCT, INC. | OneBrowser署名者 |
| Chickadee Digital | OneBrowser署名者 |
| Riya Software | OneBrowser署名者 |
| Eman Group, LLC | OneBrowser署名者 |
| MATCH-TWO-USERS LLC | CL-CRI-1089 |
| TWEAKSCODE LLC | CL-CRI-1089 |
| AFFILIDADOS | CL-CRI-1089 |
| MARKET FUSION INNOVATIONS LLC | CL-CRI-1089 |
| BUZZ BOOST ADVERTISERS LLC | CL-CRI-1089 |
| ADSMARKETO LLC | CL-CRI-1089 |
| CROWN SKY LLC | CL-CRI-1089 |
| Summit Nexus Holdings LLC | CL-CRI-1089 |
| Europae-Solutio Ltd | CL-CRI-1089 |
| SP Development and Solution Limited | CL-CRI-1089 |
| Echo Infini SDN BHD | CL-CRI-1089 |
| COMMERCE GROUP TECHNOLOGY LTD | CL-CRI-1089 |
| ALGORYTHM TECH LTD | CL-CRI-1089 |
| Byte Media Sdn Bhd | CL-CRI-1089 |
| GLINT SOFTWARE SDN. BHD | CL-CRI-1089 |
| Global Tech Allies ltd | CL-CRI-1089 |
| SOFT SOLUTIONS HUB | CL-CRI-1089 |
| Monetize forward LLC | CL-CRI-1089 |
| ADVANTAGE WEB MARKETING LLC | CL-CRI-1089 |
| Incredimarket | CL-CRI-1089 |
| ILLUSION MEDIA SOLUTIONS | CL-CRI-1089 |
| Virtual Media App Ltd | CL-CRI-1089 |
| DEV SPOTS LLC | CL-CRI-1089 |
| Digit Consult | CL-CRI-1089 |
| Outsource Genius LLC | CL-CRI-1089 |
| OneStart Technologies LLC | CL-CRI-1089 |
| Apollo Technologies Inc | CL-CRI-1089 |
| Caerus Media LLC | CL-CRI-1089 |
| Digital Promotions Sdn. Bhd. | CL-CRI-1089 |
| Eclipse Media Inc. | CL-CRI-1089 |
| Astral Media Inc | CL-CRI-1089 |
| Incredible Media Inc | CL-CRI-1089 |
| STYLE SOLUTION LIMITED | CL-CRI-1089 |
注記:IPアドレスとドメインは、意図的に無効化されています(例:[.])。偶発的な解決またはハイパーリンクを防ぐためです。MISPやVirusTotal、またはあなたのSIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみ再度ファングしてください。
翻訳元: https://gbhackers.com/tamperedchef-malware-hides-in-signed-apps/
