- GoogleのADドメインがマルウェア配布チェーンの完璧な隠れ蓑に
- マルウェアはオンラインから取得した本物のロゴを使い、偽の企業ページを動的に生成
- 5段階の攻撃工程がほぼすべてメモリ内で実行され、痕跡をほとんど残さず
サイバーセキュリティの研究者たちが、Googleの広告インフラを悪用して悪意ある活動を隠ぺいするマルウェアキャンペーンについて警告を発しています。
Huntressの調査によると、この攻撃はHTMLファイルを添付した悪意あるスパムメールから始まり、精巧に多層化された感染チェーンへとユーザーを誘導する仕組みになっています。
このキャンペーンが注目を集めた理由の一つは、リダイレクト処理の経路に ad.doubleclick.net を使用していた点です。これはGoogleが所有する正規の広告・トラッキングドメインであり、多くのセキュリティシステムから広く信頼されています。
信頼されたインフラの陰に潜むマルウェアチェーン
このルーティング手法が問題なのは、多くのメールゲートウェイやWebフィルタリングシステムが、GoogleのADドメインを不審な宛先として扱うことがほとんどないためです。
添付ファイル自体にはほぼ意味のある内容がなく、攻撃者が管理する別のインフラへと被害者をリダイレクトする隠しリンクのみが埋め込まれていました。
ユーザーがページを操作すると、実行中に受信者のメールアドレスから自動抽出したデータを使い、攻撃の仕掛けが動的に再構成されます。
添付ファイルのアーカイブをダウンロードすると、感染チェーンはソーシャルエンジニアリングの手法から、Windows内部での隠ぺいされたマルウェア実行へと素早く移行します。
ダウンロードされるファイルは、JScript・PowerShell・リフレクティブ.NETローディング・インメモリ実行といった手法を組み合わせ、検出を困難にしています。
マルウェアは従来型のファイルをほとんど残さず、複数の段階をメモリ内で直接実行します。
このキャンペーンが巧妙なのは、企業ロゴをオンラインソースから自動取得してカスタムブランドのページを生成するという手間のかかる手法を使っている点です。
さらに、受信者の位置情報や現地時間も収集することで、偽のページをより本物らしく見せています。
ステルス性に徹底的にこだわったマルウェア——研究者が指摘
Huntressは、HTMLリダイレクト・JScriptローダー・PowerShellスクリプト・.NETコンポーネント・追加ペイロードの展開という5段階の攻撃シーケンスを確認しています。
マルウェアは実行を続ける前に、デバッグ環境・サンドボックスシステム・フォレンジック解析ツールの存在を確認します。
これらのツールを検出した場合、マルウェアは直ちに活動を停止し、警告メッセージを出すことなく感染システムを強制再起動させることもあります。
さらに、WindowsのネイティブAPIレベルの改変を通じてAMSIおよびETWテレメトリシステムを直接無効化し、セキュリティ監視を妨害します。
その後、InstallUtil.exe や MSBuild.exe といったMicrosoft署名済みの正規ユーティリティに悪意あるコードをインジェクトすることで、検出を回避しようとします。
この手法により、世界中の企業セキュリティが正規と認識している信頼されたWindowsプロセスに、悪意ある動作を紛れ込ませることが可能になります。
通信インフラにはダイナミックDNSサービスと非標準のネットワークポートが使用されており、防御策が講じられると迅速に切り替えられる構造になっています。
マルウェアは感染システムからハードウェア情報も収集しており、プロセッサ識別子・ウイルス対策製品・マザーボード情報・NvidiaおよびAMD製グラフィックスハードウェアの情報が対象となっています。
システムの再起動やシャットダウン後も悪意あるプロセスを繰り返し再起動する持続性機構を備えていることから、この一連の攻撃は長期的な不正アクセスを目的として設計されていると考えられます。
なお、Huntressは最終的な攻撃目標を確定的には特定できていません。ただし、その構造は大規模なリモート侵入活動の準備を示唆しています。
