Nimbus Manticoreは、UNC1549としても追跡されているイラン系の脅威アクターであり、サイバースパイ活動の戦術を変化させています。
従来のキャリアをテーマにしたフィッシングから離れ、このグループは現在、検索エンジン最適化(SEO)技術を悪用して、MiniFastと呼ばれる新しいマルウェアを配布しています。
最近の脅威インテリジェンスによると、このグループが人気のデータベース管理ツールであるSQL Developerの偽のダウンロードページを作成し、無防備な被害者を罠にかけていることが明らかになっています。
これは、従来から防衛、航空、通信分野を標的としてきたこのグループにとって、重大な戦術の進化を意味します。
最近の一連の攻撃において、研究者たちは悪意のあるドメイン getsqldeveloper[.]com へトラフィックを誘導する高度に組織化されたキャンペーンを発見しました。
脅威アクターは、リンクベースの評判シグナルを人工的に操作して検索エンジンのランキングを引き上げるため、この偽サイトを指す数十のセカンダリドメインを登録しました。
「SQL Developerをダウンロード」などのフレーズによるキーワードスタッフィングを多用することで、悪意のあるサイトはBingやDuckDuckGoなどの主要な検索エンジンで上位にランクされました。
開発者が偽のインストーラーをダウンロードすると、高度な多段階の感染チェーンが引き起こされます。Nimbus Manticoreの最近の活動の特徴は、AppDomainハイジャックを多用することです。
この手法は、Microsoftが署名した信頼できるバイナリの隣にトロイの木馬化されたXML .configファイルを配置することで、正規の.NETアプリケーションを悪用します。
ユーザーがアプリケーションを起動すると、.NETランタイムが悪意のあるDLLを読み込むよう騙され、攻撃者は信頼されたプロセス内で安全にコードを実行できるようになります。
SEOポイズニングを採用する前、この脅威アクターは武器化されたZoomインストーラーに依存していました。これらの初期の攻撃では、マルウェアはバックグラウンドで本物のZoomインストーラーをひそかに起動しながら、偽のインストール進行ウィンドウを表示していました。
持続性を維持するために、マルウェアはZoomが作成したスケジュールタスクをシステム上で監視しました。
その後、正規のZoomUpdateTaskUserタスクをハイジャックして悪意のあるペイロードを起動させ、新たな不審なレジストリキーの作成を回避しました。
これらの感染チェーンの最終目標は、古いMiniJunkフレームワークに代わる、グループ最新のバックドアとして機能する64ビットWindows PE DLLであるMiniFastを展開することです。
MiniFastは長期的なステルスのために設計されており、攻撃者が侵害されたシステムを深くコントロールできるリモートアクセスツールとして機能します。
CheckpointがCyberPressと共有したレポートで述べたところによると、このバックドアは実行前に動作環境を検証し、正しいupdate.exeプロセスによってホストされ、svchost.exeによって起動されていることを確認します。
検証が完了すると、MiniFastはAPIスタイルのアーキテクチャを使用してコマンド&コントロール(C2)サーバーと通信します。データのやり取りをJSON形式でフォーマットし、Google Chromeブラウザを偽装することで、通常のWebトラフィックにシームレスに溶け込みます。
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐために意図的に無害化されています(例:[.])。MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみ再度有効化してください。
翻訳元: https://cyberpress.org/hackers-abuse-seo-poisoning/