Lurking Lizardが登録切れドメインの再取得(ドロップキャッチ)と偽ブランドを悪用してプロキシウェアを配布

一般消費者向けデバイスを、レンタル可能な出口ノード(エグジットノード)としてレジデンシャルプロキシサービスに変えてしまう、洗練された長期運用の攻撃キャンペーンが確認されました。

最初の兆候となったのは、7zip[.]comにホストされた偽の7-Zipインストーラーでした。このドメインは正規の7-zip[.]orgを模倣したもので、よくある誤記入により長年にわたって蓄積された検索エンジン上の実績の恩恵を受けていました。

しかし、この単発の攻撃に見えたものは、実は巨大なインフラの氷山の一角に過ぎませんでした。DNSとWHOIS情報を辿ったところ、230件を超える関連ドメイン、複数の中国語名をシャッフルして使った登録、そして武漢の電話番号地域コードを含む一貫した登録者メタデータが明らかになりました。

複数のドメインは「ドロップキャッチ」と呼ばれる手法で取得されており、これにより攻撃者は既存の正当性やオーガニックトラフィックをそのまま引き継ぐことができました。これはソーシャルエンジニアリングによる拡散を後押しする、明らかな効果増幅要因です。

技術的に見ると、Lurking Lizardのインプラントはプロキシウェアとして振る舞います。インストーラーはそれらしい機能を提供して即座に削除されるのを回避しつつ、感染ホストをリレーノードとして登録します。

サンプルからは、数年にわたり複数の攻撃手口で安定した展開モデルとコードの再利用が確認されています。ペイロードには通常、サービス型の実行ファイルとアップデーターコンポーネントが含まれ、システムディレクトリにインストールされたうえで、レジストリの変更とWindowsサービスの仕組みによって永続化されます。

アンチデバッグ、システムプロファイリング、そしてnetshを使ったファイアウォールルールの変更が一貫して観測されており、堅牢で再現性のあるビルド・展開パイプラインの存在を示しています。

重要な運用上のつながりは、埋め込まれたIPLoggerビーコン「hxxps://iplogger[.]com/mnWD」から得られました。これは異なるペイロードと時期にまたがってテレメトリのフックとして機能していました。

この単一の痕跡により、偽の7-Zipインストーラーが、以前のTikTok/YouTubeダウンローダーを装ったツールや、その後のWireVPNブランドのサンプルと結び付けられました。これは、同一の攻撃者が追跡・テレメトリの仕組みを使い回してキャンペーンを調整していたことを示す強力な証拠となります。

アプリケーション層のフィンガープリントもこのつながりを裏付けています。複数のドメインが同一のAPIエンドポイントとレスポンススキーマ(例えば/client_v1/config/httpや/client_v1/version/server)を公開しており、単一の共有バックエンドインフラという評価を補強しています。

Image

Infobloxの研究者らによると、Lurking Lizardと呼ばれるこの攻撃者は、トロイの木馬化されたインストーラー、ドロップキャッチで取得した偽装ドメイン、そして複数の偽プロキシブランドを組み合わせ、少なくとも2022年8月まで遡るエンドツーエンドの悪質なプロキシビジネスを運営しています。

Lurking Lizard、ドロップキャッチドメインを悪用

Lurking Lizardのドメイン戦略は、その深さと巧妙さで際立っています。偽装サイトはSmartProxyやIPIDEAなど大手プロキシサービスを模倣しており、ある例では、実際に攻撃者が運営するsmartproxy[.]orgが数千万件ものレジデンシャルIPへのアクセスを宣伝し、IPIDEAのネットワークと大きく重複するIPを示していました。

Image

この攻撃者は、汎用のダウンロードサイトや「IPチェッカー」サイト、さらには偽のレビューポータルまで運営しており、垂直統合されたモデルであることがうかがえます。すなわち、デバイスを勧誘し、偽装した販売サイトを通じてアクセスを収益化し、偽レビューやSEO操作によってトラフィックを誘導するという流れです。

WireVPNブランドは、この攻撃活動の現在の表向きの顔にあたります。正規のコード署名証明書で署名されたWindowsサンプルは、wire.exe/upwire.exeという名前のバイナリをインストールし、一般的なVPNクライアントとは整合しないネットワーク動作を行っていました。

単一の暗号化トンネルを確立する代わりに、クライアントはICMPを使って多数のIPをプローブし、攻撃者が管理する複数のホストに同時に多数の接続を確立します。これは分散型のエグジットノードプールを構築・インデックス化する動作と一致します。

Image

このトラフィック転送パターンは、デバイスが第三者のトラフィックのための汎用プロキシとして利用されていることを示唆しており、これは認証情報窃取者、広告不正行為者、その他の違法な買い手にとって魅力的な機能です。

防御側にとって、この事例はいくつかの実用的な検知手法を浮き彫りにしています。同一の展開パターンを持つインストーラーとアップデーターのペアを探すこと、既知のIPLogger識別子や偽装ドメイン群への発信接続を監視すること、そしてWHOIS/ドロップキャッチのタイムラインを照合して不審なドメインの引き継ぎを見つけることです。

攻撃者の特定はあくまで推定にとどまりますが、一貫した登録者名のバリエーション、地域の電話番号コード、そして繰り返し現れるインフラのフィンガープリントは、レジデンシャルプロキシの容量を収益化することに主眼を置いた、単一の高度な運営者の存在を示しています。

Lurking Lizardの活動は、マルバタイジング型のアフィリエイト経済と現代のレジデンシャルプロキシ市場との境界が曖昧になっていることを浮き彫りにしています。侵害と収益化はドメインスクワッティング、SEO、再利用可能なバックエンドツールを通じて絡み合っており、協調した摘発とマーケットプレイスの説明責任を必要とする、粘り強く回避力の高い脅威を生み出しています。

関連する報告と指標は、Malwarebytesによる偽の7-Zipダウンロードの分析や、smartproxy[.]orgおよびWireVPNの活動を記録した関連の公開アーカイブから入手できます。

2019年のSOC向けに書かれたSLAをそのまま受け入れるのはもうやめましょう ― 2026年版AI SLAベンダーチェックリストはこちら ― 無料のAI SOC SLAガイドをダウンロード

翻訳元: https://gbhackers.com/lurking-lizard-uses-drop-catch-domains/

ソース: gbhackers.com