eSecurity Planet のコンテンツおよび製品推薦は、編集部が独立して作成しています。パートナーへのリンクをクリックした際に、収益が発生する場合があります。 詳細はこちら
国際的な法執行機関による協調作戦が、サイバー犯罪エコシステムにおいて最も根強いマルウェアオペレーションの一つに対し、大きな打撃を与えました。
オランダ、カナダ、米国、ドイツの当局は、ユーロポールの支援とProofpointが提供したインテリジェンスをもとに、SocGholishマルウェアキャンペーンを展開する脅威グループTA569が運用するインフラを壊滅させました。
「Operation Endgameは、官民の協調パートナーシップがサイバー犯罪の大規模な壊滅にいかに現実的な効果をもたらすかを示した好例です」と、ProofpointのスタッフThreat ResearcherであるSelena Larson氏はeSecurity Planetへのメールの中でコメントしました。
同氏は続けて、「SocGholishは長らくサイバー犯罪活動の入口として機能しており、脅威アクターが被害者環境への初期アクセスを獲得する手助けをしてきました。その感染はランサムウェアなど壊滅的な被害につながる可能性があります」と説明しました。
Larson氏はさらに、「サイバー犯罪はエコシステムです。SocGholishのような重要サービスを標的にすることで、単一のマルウェアオペレーションをはるかに超えた波及効果が生まれます。こうした壊滅作戦は攻撃者に再構築・再整備・再評価を強いるものであり、防御側が新たな脅威に先手を打つ貴重な機会を生み出します」と付け加えました。
主なポイント
- Operation EndgameがTA569に関連するインフラを壊滅。100以上のサーバーとドメインをテイクダウンし、約1万5,000件の侵害されたウェブサイトを修復。
- TA569のSocGholishマルウェアは、LockBit、WastedLocker、RansomHubなど主要なランサムウェア攻撃との関連が判明。
- 同グループが普及させた「FakeUpdate」手法は、侵害されたウェブサイトと偽のブラウザ更新通知を悪用してマルウェアを配布。
- 研究者らは、複数の脅威グループが類似の手口でマルウェア配布や認証情報窃取を続けており、Webインジェクションキャンペーンが拡大傾向にあると警告。
- 各組織はウェブサイトのセキュリティ、エンドポイント保護、インシデント対応能力を強化し、進化するWebベースの脅威への露出を低減すべき。
TA569とSocGholishが重要な理由
Proofpointは、TA569を脅威インテリジェンスデータの中で最も活発なサイバー犯罪グループの一つと位置づけており、少なくとも2018年から活動していると指摘しています。
Operation Endgameの一環として、当局は世界中で100以上のサーバーとドメインを押収し、SocGholishマルウェアの配布に使われていた約1万5,000件の侵害ウェブサイトを修復しました。
TA569は「FakeUpdate」手法を広く普及させたグループとして知られており、正規のウェブサイトを侵害して偽のブラウザ更新通知を表示します。
ユーザーがその「更新」をダウンロードすると、実際にはマルウェアがインストールされ、追加ペイロードの展開、認証情報の窃取、ランサムウェア感染につながる恐れがあります。
Proofpointによると、SocGholishの活動はLockBit、WastedLocker、RansomHubなど大規模なランサムウェア攻撃との関連が確認されています。
攻撃チェーンの仕組み
攻撃は通常、脆弱なWordPressのインストール環境、漏洩した認証情報、古いプラグイン、またはホスティングプラットフォームの脆弱性を突いてウェブサイトへのアクセスを獲得することから始まります。
侵入後、攻撃者は悪意あるコードを注入し、訪問者を複雑なトラフィック配信システム(TDS)経由でリダイレクトします。
TA569のインフラは、地理的位置、OS、ブラウザの種類といった要素に基づいて訪問者を多層的にフィルタリングし、悪意あるコンテンツを提供する対象を絞り込みます。
このフィルタリングを通過したユーザーには、偽の更新ファイルのダウンロードを促す巧妙なブラウザ更新ページが表示されます。
ダウンロードされたファイルは最終的にGhoLoaderというマルウェアローダーを展開し、追加ペイロードの配布や企業環境でのランサムウェア感染につながる可能性があります。
Proofpointの研究者によると、TA569の攻撃チェーンは正規のウェブサイトを悪用し、巧妙なトラフィックリダイレクトと高度に難読化されたコードを組み合わせているため、検出が特に困難とされています。
進化し続けるWebインジェクション脅威
Operation EndgameはTA569の活動に打撃を与えると見られていますが、研究者らはWebインジェクション全体のエコシステムが依然として活発であると警戒を促しています。
Proofpointは、ClearFake、ZPHP、ErrTraffic、GeoTDS、LandUpdate808など、類似の手口を用いる約10の脅威クラスターを追跡しています。
Webインジェクションキャンペーンの普及は2023年以降に大幅に拡大しており、その一因として、ユーザーをだまして悪意あるコマンドを手動実行させるClickFixなどのソーシャルエンジニアリング手法の台頭が挙げられます。
研究者らは、TA569の壊滅によって生じた空白を埋めようとする他の脅威アクターが現れる可能性があると予測しています。
組織がリスクを低減するための対策
SocGholishのようなWebインジェクションキャンペーンへのリスクを低減するには、ウェブサイトのセキュリティとエンドポイント保護の両面に対処する多層的なセキュリティアプローチが有効です。
- 多層的なセキュリティコントロールの導入:エンドポイント検出・対応(EDR)、ネットワーク監視、DNSフィルタリング、Webフィルタリングを組み合わせた対策の実施。
- MFAの有効化と管理者アカウントの制限:IPホワイトリスト、VPN、またはゼロトラスト制御によりCMS管理ポータルへのアクセスを制限。
- WordPressのインストール環境、プラグイン、テーマ、Webサーバーおよびサードパーティ依存関係を常に最新の状態に保ち、未使用のコンポーネントを削除して攻撃対象領域を縮小。
- ウェブサイトのファイル、プラグイン、ユーザーアカウント、ログを監視し、ファイル整合性監視ツールやロギングツールを用いて不正な変更、不審なリダイレクト、侵害の痕跡(IoC)を検知。
- PowerShell、Windows Script Host、その他スクリプトツールの使用を制限し、可能な範囲でアプリケーションホワイトリストを導入してマルウェアの実行を防止。
- 安全性が検証されたバックアップを維持し、ウェブサイトの侵害やランサムウェア関連インシデント発生時に迅速にシステムを復旧できるリカバリ手順を整備。
- インシデント対応計画をテストし、Webインジェクション、マルウェア、ClickFix攻撃を想定した攻撃シミュレーションツールを活用。
これらの対策を組み合わせることで、Webインジェクション脅威への露出を低減しながら、組織の耐性を高めることができます。
まとめ
SocGholishの壊滅は、法執行機関による介入が主要なサイバー犯罪サービスを弱体化させ得ることを示していますが、根本的なリスクがすべて排除されたわけではありません。
Webインジェクションキャンペーン、偽の更新を装った誘導、ClickFix型のソーシャルエンジニアリングは、TA569の空白を埋めようとする他の脅威アクターによって今後も進化し続けるでしょう。
攻撃者が侵害されたウェブサイト、ソーシャルエンジニアリング、信頼されたデジタルインフラを悪用して初期アクセスを獲得し続けるなか、各組織は被害範囲の限定を目的としてゼロトラストソリューションの導入を進めています。
