先月、Microsoftがマルウェア署名代行サービス提供者のFox Tempestを無力化したことで、「Lorem Ipsum」シェルコードローダー兼バックドアの運営者は、トロイの木馬化されたMicrosoft Teamsインストーラーによる配信手法を断念し、ClickFix誘導へと移行せざるを得なくなりました。
2026年2月からLorem Ipsumキャンペーンを追跡してきたBlueVoyantの研究者たちは、MicrosoftがFox Tempest(別名:Forging Marauder)のインフラを解体し、不正に取得した1,000件以上のMicrosoft Trusted Signing証明書を失効させてからわずか数日後の5月下旬に、この移行を確認しました。今回の取り締まりはLorem Ipsumの背後にいる脅威アクターを一時的に混乱させた可能性がありますが、彼らはすぐさま新たな、そして潜在的にはより危険な配信モデルへと移行しました。
ClickFix への素早い転換
「証明書の供給が断たれたことで、従来の署名済みインストーラーによる配信モデルが機能しなくなり、運営者はコード署名を完全に排除した配信メカニズムの採用を余儀なくされました」と、BlueVoyantは火曜日に公開したレポートの中で述べています。
脅威アクターは現在、侵害されたWordPressサイト上に設置されたClickFix誘導ページを通じてマルウェアを配信しています。「この転換により、潜在的な被害者の範囲が大幅に拡大しました。これまでSEOポイズニングや不正広告によるダウンロードポータルで偽のMicrosoft Teamsインストーラーに接触したユーザーだけでなく、侵害されたWordPressサイトを閲覧する誰もが標的になり得ます」と同社は指摘しています。
BlueVoyantは当初、Lorem Ipsumを、2026年2月に始動した洗練された中堅の初期アクセスブローカーによって運営される、急速に成熟しつつあるマルウェアキャンペーンと評価していました。しかしその後、同社はこの評価を見直し、このキャンペーンがRapid Brigantineと強く関連していると確信するに至っています。Rapid Brigantineは金銭的動機を持つサイバー犯罪グループで、Vanilla Tempest、DEV-0832、Vice Societyとしても追跡されています。BlueVoyantによると、この脅威アクターは少なくとも2022年半ば以降活動しており、Rhysida、BlackCat、Zeppelin、Quantum Lockerを含む複数のランサムウェアファミリーと関連しています。
Lorem Ipsumキャンペーンは当初、SEOポイズニングによってユーザーを誘い込み、有効なMicrosoft Trusted Signing証明書で署名されたトロイの木馬化されたMicrosoft Teamsインストーラーをダウンロードさせていました。偽インストーラーを実行した被害者は、知らぬ間に多段階のシェルコードローダーとバックドアを展開させられ、攻撃者にシステムへの足がかりを与えることになりました。
BlueVoyantの分析によると、Lorem IpsumはDLLサイドローディング、暗号化されたペイロード、そして正規のインドのブログプラットフォームLetsDiskuss[.]comをデッドドロップとして悪用しC2サーバーアドレスを取得する指揮統制(C2)メカニズムを組み合わせた、高度な多段階感染チェーンを使用していることが判明しました。また同マルウェアは、個々の被害者の感染を追跡・管理するために一意の識別子を割り当てているとBlueVoyantは述べています。
WordPressサイト上のClickFix誘導
新たなClickFix配信モデルでは、Lorem Ipsumの運営者は現在、少なくとも5つの正規だが侵害されたWordPressウェブサイトを使用してClickFix誘導ページをホストしています。攻撃チェーンは、建築、法律サービス、建設テクノロジーなど複数の業界にまたがるこれらのウェブサイトのいずれかにユーザーがアクセスした時点から始まります。サイトに埋め込まれたiframeが、ユーザーのブラウザが古いというブラウザ更新通知を偽装して表示する仕組みです。
他のClickFix詐欺と同様の手口で、このポップアップはMicrosoft Edgeのセキュリティインテリジェンス更新に偽装したPowerShellコマンドをWindowsターミナルに貼り付けるようユーザーに指示します。そのコマンドを実行すると、Lorem Ipsumマルウェアがバックグラウンドで静かにダウンロード・実行される一方、ブラウザが正常に更新されたという偽の成功メッセージが表示されます。
ランサムウェアアクターとの不穏な関連性
Lorem IpsumがRapid Brigantineと関連しているというBlueVoyantの見解は、防御側にとって重要な意味を持ちます。このキャンペーンが、被害者に対して破壊的なペイロードを展開してきた実績を持つより広範なランサムウェア作戦の一部である可能性を示唆しているからです。同セキュリティベンダーによると、2つの作戦の関連を示す複数の指標が存在するといいます。具体的には、Teamsインストーラーを使用したVanilla TempestのSEOポイズニングキャンペーンを記述した2025年10月のMicrosoftのレポート、マルウェア署名証明書の取得にForging Marauder/Fox Tempestを共同利用していたこと、そしてLorem Ipsum関連のローダーがRapid Brigantine関連のバックドアを配信したとするDFIRレポートなどが挙げられます。
Lorem Ipsumキャンペーンは、現代の脅威アクターが自身の活動を妨害しようとする試みに対して高い回復力を備えていることを示す最新の事例です。Lorem Ipsumのアクターたちは、MicrosoftによるFox Tempest署名サービスの解体によって活動を止められるどころか、新たな配信モデルへと素早く転換し、結果的に脅威プロファイルをさらに高める形となりました。
防御側にとってより広い意味での示唆は、検知・防止戦略を初期アクセスベクターに関する固定的な前提に依存できないということです。その代わりに組織は、ソーシャルエンジニアリング、正規のWebインフラの悪用、そして悪意あるコマンドのユーザー実行を組み合わせた、素早く変化する多チャンネル配信モデルを想定しておく必要があるとBlueVoyantは指摘しています。
「このClickFix キャンペーン、およびそれに続くRapid Brigantineによる広範な侵害後活動への防御には、妨害に対する運営者の迅速な対応能力を踏まえ、静的な指標よりも行動ベースの検知を優先させる必要があります」と同セキュリティベンダーは述べています。「最も実用的価値の高い制御は、個々の配信メカニズムやマルウェアの亜種ではなく、Rapid Brigantineの複数の配信パイプラインにまたがる一貫した行動に焦点を当てるものです」と付け加えています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/lorem-ipsum-malware-clickfix-delivery
