Huntressが発見した高度なマルスパムキャンペーンは、GoogleのDoubleClick広告トラッキングインフラを悪用してメールセキュリティゲートウェイを回避し、多段階攻撃を展開します。
Huntressによると、初期アクセスはBestellung_2026.html(ドイツ語で「注文」の意)という悪意のあるHTMLの添付ファイルから始まります。このファイルには、正規のad.doubleclick[.]netクリックトラッキングURLへのゼロ秒メタリフレッシュリダイレクトが仕込まれています。
DoubleClickはGoogleが所有する高評価のドメインであるため、ほとんどのメールゲートウェイやURLレピュテーションサービスはこれを検査せずに通過させてしまいます。この配信キットが特にスケーラブルである理由は、リアルタイムでのパーソナライズ機能にあります。
誘導ページはURLフラグメントから被害者のメールアドレスを読み取り、雇用主のドメインを抽出したうえで、Clearbit、logo.dev、Google Faviconを通じてリアルタイムで企業画像を取得し、ページタイトル、ヘッダーブランディング、ロゴを動的に組み立てます。
組織固有のコンテンツはどこにもハードコーディングされていません。URLのメールアドレスを変えるだけで誘導ページ全体が即座に別の組織向けにリブランドされるため、ほぼコストをかけずに各標的に対して視覚的に説得力のある攻撃を展開できるとHuntressは述べています。
このページはさらにipapi[.]coを呼び出して被害者の所在都市と現地時間を表示し、正当性の錯覚をより強固にします。URLにメールフラグメントが含まれていない場合、ページは自動的にBingへリダイレクトします。これは自動分析を妨害するためのシンプルながら効果的な手法です。
「PDF herunterladen」(「PDFをダウンロード」)をクリックするとZIPアーカイブが配信され、その中には高度に難読化されたJScriptファイルが含まれています。攻撃はここから5段階にわたって展開されます:HTML誘導ページ → JScriptドロッパー → PowerShellステージャー → .NETローダー → プロセスハロウイングされたペイロード。
JScriptファイルは初回実行時にC:\Users\Public\へ自身を移動させ、破損したbase64データを修復してから、エンコードされたPowerShellスクリプトを投下します。
このスクリプトはGoogleへの接続チェックを実行し、オフライン状態であった場合やサンドボックスツール(Wireshark、OllyDbg、any.run、ImmunityDebugger)が検出された場合は、Restart-Computer -Forceを実行してマシンを強制再起動し、トリアージを妨害します。
攻撃者が管理するホストから03.txtとして取得される.NETローダーは、このキャンペーンの中で最も技術的に攻撃的なコンポーネントであるとHuntressは述べています。
実行前に仮想マシン、サンドボックスアーティファクト、クラウドホストの指標(Azure Guest Agent、RDPクリップ)、およびアタッチされたデバッガーをスキャンします。これらが検出されると、マシンの再起動またはサイレント終了が実行され、vm.txtやDebugger.txtなどの小さなマーカーファイルだけが残されます。
未署名のバイナリを直接投下するのではなく、ローダーは標準的なRunPEプロセスハロウイング(CreateProcessA → ZwUnmapViewOfSection → VirtualAllocEx → WriteProcessMemory → ResumeThread)を通じて、InstallUtil.exeまたはMSBuild.exeというMicrosoft署名済みの正規プロセスに最終ペイロードをインジェクトします。
Win32 API名はすべてbase64エンコードされており、静的検出を回避するためにランダムな@文字が挿入されています。
ローダーはポート7211経由で、DDNSベースの2つのC2サーバーxtadts.ddns[.]netとafxwd.ddns[.]netにRAW TCPで通信します。通信にはPBKDF2導出鍵によるAES暗号化とprotobufシリアライズが使用され、初期鍵交換にはRSAが採用されています。
Huntressの研究者は、DDNSインフラによってローテーションコストはほぼゼロに抑えられており、IPアドレスをブロックしても継続的な防御効果は期待できないと指摘しています。
初回ビーコン時、ローダーはWMIを通じてホストのフィンガープリントを取得し、CPU、ディスク、マザーボードのシリアル番号を収集します。さらにWMIとレジストリの直接読み取りの両方を通じて、NVIDIA(GTX/RTX)およびAMD(Radeon)のGPUを具体的に列挙します。
注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐために意図的にデファング処理(例:[.])が施されています。リファング(元の形式への復元)は、MISP、VirusTotal、またはご使用のSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/malspam-campaign-doubleclick-redirects/
