高度な手口を用いた新たなマルスパムキャンペーンが、GoogleのDoubleClick広告トラッキングインフラを悪用して、企業向けメールセキュリティゲートウェイをすり抜けようとしています。
Huntressの研究者が発見したこの攻撃は、高度にパーソナライズされた動的な誘導コンテンツを駆使し、5段階の複雑な感染チェーンを実行します。最終的なペイロードを展開する前に、ローカルの防御機能を能動的に無効化するのが特徴です。
攻撃チェーンは、悪意のあるHTMLファイルの添付から始まります。ファイル名はBestellung_2026.html(ドイツ語で「注文」の意)が使われることが多く、このファイルを開くと、ゼロ秒のメタリフレッシュによって正規のad.doubleclick[.]net URLへリダイレクトされます。
Huntressによると、DoubleClickはGoogleが所有する高い評判を持つドメインであるため、ほとんどのセキュアメールゲートウェイ(SEG)やURLレピュテーションフィルタは、詳細な検査を行わずにそのトラフィックを通過させてしまいます。
リダイレクト後、このキャンペーンはリアルタイムのパーソナライズ機能を用いて、説得力の高い動的な誘導ページを生成します。
DoubleClickを悪用するマルスパムキャンペーン
このページはURLフラグメントから攻撃対象のメールアドレスを抽出し、Clearbit・logo.dev・Google Faviconsを通じてリアルタイムで企業ロゴを取得することで、雇用先のブランドイメージを再現します。組織固有のデータはハードコードされておらず、インフラの拡張性が高く、運用コストも低く抑えられています。
さらに偽の正当性を演出するため、ipapi[.]coを利用して被害者の現地時間と都市名を表示します。URLフラグメントにメールアドレスが含まれていない場合は、自動分析エンジンを妨害する目的でBingへ静かにリダイレクトされます。
誘導ページの「Download PDF」ボタンをクリックすると、難読化されたJScriptファイルを含むZIPアーカイブが配信されます。感染はその後、HTMLの誘導ページ、JScriptドロッパー、PowerShellステージャー、.NETローダー、プロセスホローイングされたペイロードという5つの段階を経て進行します。
JScriptは実行されるとC:\Users\Public\に移動し、Base64のBLOBを復元して、エンコードされたPowerShellスクリプトを投下します。このスクリプトは防御機能の無効化を担うトリップワイヤーとして機能します。
Googleへの疎通確認を行うとともに、Wireshark・any.run・OllyDbgといったサンドボックスツールを積極的に探索します。解析環境が検出された場合は、Restart-Computer -Forceを実行して意図的にホストを再起動し、トリアージを妨害します。
このキャンペーンで最も技術的に攻撃的なコンポーネントが、攻撃者が制御するサーバから取得される.NETローダーです。環境が安全と判断されると、このローダーはローカルのセキュリティ制御を体系的に無効化していきます。
ローダーはネイティブAPIレベルでAntimalware Scan Interface(AMSI)にパッチを当て、Windows 11 24H2ビルドではNtManageHotPatchを標的とします。また、ntdll.dll内のEtwEventWriteにパッチを当てることで、Windows イベントトレーシング(ETW)のテレメトリを無効化します。
さらに、Microsoft Defenderのリアルタイム保護を無効化し、NVIDIAをテーマにした名前で偽装したRunOnceレジストリキーによって永続性を確立します。最終的には標準的なRunPEプロセスホローイングを用いて、InstallUtil.exeやMSBuild.exeといったMicrosoft署名済みの正規プロセスに最終ペイロードを注入します。
Huntressの研究者によると、C2(コマンド&コントロール)通信はAES暗号化メッセージを使用し、DDNSベースのサーバへのRAW TCP(ポート7211)経由で行われます。初回のビーコン送信時、マルウェアはWMIを通じて接続されているNVIDIAおよびAMDのGPUを列挙します。
侵害の痕跡(IoC)
| インジケーター | 種別 | 説明 |
|---|---|---|
xtadts.ddns[.]net / afxwd.ddns[.]net — ポート 7211 |
C2ドメイン | 稼働中のローダーC2サーバ。DDNSベースで素早いIPローテーションに対応。ファイアウォールおよびDNSレベルでブロックを推奨 |
pengajian.muliastudy[.]com/images/edu/u.php |
URL | 悪意のあるZIPアーカイブを配信するペイロード直接配布エンドポイント。信頼度が高くブロックを推奨 |
catalogo.castrouria[.]com |
ドメイン | bl.txtを配信(InstallUtil.exe / MSBuild.exeに注入されるパック済みローダー) |
%USERPROFILE%\AppData\LocalLow\LocalLow Windows\Program Rules\Program Rules NVIDEO\ |
ファイルパス | NVIDIAを模したステージングディレクトリ。信頼性の高いホストベースのハンティングアーティファクト |
D5B7247C...64759B5 (+兄弟ハッシュ4件) |
SHA-256 | ハードコードされたC2 TLS証明書ピン。ネットワーク層でローダーのトラフィックをフィンガープリント |
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; WOW64...) |
ユーザーエージェント | ペイロード取得に使用されるハードコードされたIE8 UA。現代的な環境では異常であり、SIEMルールの作成が容易 |
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化(例:[.])されています。MISP・VirusTotal・SIEMなどの管理されたスレットインテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
緩和策
- グループポリシーを設定し、スクリプトファイル(
.js、.vbs、.hta)をデフォルトでメモ帳で開くようにすることで、ユーザー操作なしに実行を無効化。 - 配信前に添付ファイルとリンクを検査できるサンドボックス機能付きのメールゲートウェイを導入。
C:\Users\Public\ディレクトリからエンコードされたPowerShellを起動するwscript.exeプロセスをアラート対象に設定。explorer.exeの子プロセスとして実行されるスクリプトファイルを監視。- なりすまし被害を軽減するため、SPF・DKIM・DMARCポリシーを適切に設定。
翻訳元: https://gbhackers.com/malspam-campaign-abuses-google-doubleclick/
