ヴィダー・インフォスティーラー、マルバタイジングキャンペーンで中小企業を狙い撃ち

脅威アクターが、世界中の消費者や中小企業(SMB)を標的に、金銭目的のマルバタイジングキャンペーンを展開していることがわかりました。このキャンペーンは、複数の配布・回避戦略を組み合わせて、Vidarインフォスティーラーと暗号資産マイニングマルウェアを送り込みます。

Palo Alto Networks傘下のUnit 42の研究者らは、このキャンペーンを4月に発見しました。攻撃者は、著作権で保護されたソフトウェアのクラック版を装ったファイルのダウンロードページに被害者を誘導します。7月7日に公開されたレポートによると、配布されるファイルは実際にはパスワード保護されたアーカイブであり、その中にはマルウェアローダーが隠されています。このローダーがVidarインフォスティーラーとオープンソースの暗号資産マイナー「XMRig」の両方をドロップし、実行します。Vidarはブラウザの認証情報やCookie、暗号資産ウォレットを標的とする一方、XMRigはMoneroの暗号資産をマイニングします。

この攻撃はマルバタイジングの典型的な手口を踏襲していますが、その配布メカニズムと回避戦略には際立った特徴があり、主に米国と欧州で活動するVidarのマルウェア・アズ・ア・サービス(MaaS)運営組織の熟練したアフィリエイトによるものだと考えられます。これはUnit 42の脅威研究者、Bharath Nannaka氏とPranay Kumar Chhaparwal氏の見解です。

「このキャンペーンの背後にいる運営者は、二重の収益化スキームを実行しています」と両氏はレポートに記しています。「犯罪者はVidarスティーラーが窃取した認証情報やセッションCookieを犯罪者向けのログ売買市場で販売する一方、XMRigは乗っ取った被害者のCPUサイクルから受動的な収入をもたらします」

一方、マルウェア配布メカニズムの一側面である「Factory-v3」フレームワーク(MaaS構築用)についても、運営者らの副業のようなものとみられます。研究者らは、これが「少なくとも2つの異なるスティーラー系アフィリエイトが利用する、別個の上流サービス」として機能していると指摘しています。

VidarとXMRigの攻撃フロー

攻撃は、被害者が海賊版やクラック版ソフトウェアの悪意あるオンライン広告をクリックすることから始まります。広告は攻撃者が管理するWebサイトへリダイレクトされ、そこには正規のソフトウェアインストーラーを装った、パスワード保護されたアーカイブがホストされています。

研究者らによると、このパスワード保護は「メールゲートウェイのスキャンを回避し、パスワードなしでの自動サンドボックス実行を防ぐための意図的な選択」とみられます。また、疑い深いユーザーをも欺きかねない正規性の演出にもなっています。

被害者がダウンロードしたファイルを実行すると、Go言語で書かれたローダーが起動し、ペイロードを展開する前に、メモリ内でのAntimalware Scan Interface(AMSI)バイパスを含む一連の防御回避手法を実行します。このローダーは「Factory-v3」というGoフレームワークを活用しており、ビルドごとに一意のバイナリを生成できると研究者らは指摘しています。「例えば、43個のサンプルにわたって27個の一意なビルドUUIDを確認しており、ハッシュベースの検知を無効化しています」と両氏は記しています。

さらにこのローダーには、ストリーミングTVガイドサービス「JustWatch」の名を騙った偽造証明書で署名が施されており、自動解析による検知を回避するため、ヌルバイトでパディングして異常に大きなファイルサイズにしていると研究者らは付け加えています。

実行されると、ローダーはVidarをインストールし、ブラウザの認証情報やCookie、閲覧履歴、自動入力データ、暗号資産ウォレットファイルを収集します。同時に、マルウェアはXMRigも展開し、被害者のCPUを使って密かにバックグラウンドでMoneroをマイニングします。最後に、ローダーはWindowsレジストリのRunキーとスケジュールタスクを通じて永続化を確立し、システム再起動後もマルウェアが生き残るようにします。

MaaS攻撃に対する防御の強化

研究者らの指摘によると、このキャンペーンは、金銭目的の脅威アクターが1回の感染で得られる価値を最大化するために、単一の感染チェーンの中で複数の収益化戦略をますます組み合わせるようになっている実態を示しています。これはMaaS運営が、より効率的な多段階の攻撃チェーンへと進化を続けていることの表れだと両氏は述べています。

特に中小企業は、攻撃者の回避戦術への対策に一層注意を払う必要があります。AIセキュリティソリューションプロバイダーSuzu Labsのプリンシパル兼最高技術責任者(CTO)であるDenis Calderone氏は、これらの手口が「中小企業レベルの防御に特化して調整されている」と指摘します。

同氏はDark Readingに対し、次のように語っています。「約500MBまでパディングされたバイナリは、ほとんどの小規模組織が調整することのないサンドボックスのファイルサイズ制限を静かにすり抜けます。偽の署名証明書は、ユーザーに信頼性の警告を突破させるために有名ブランド名を利用しており、AMSIバイパスはスティーラーのロジックが動き出す前にスクリプトスキャンを無効化してしまいます」

また、標的が比較的小規模な組織であることを踏まえると、「恐喝だけでは収益性が低くなる」ため、このキャンペーンの収益化モデルが多面的になっているのも驚くには当たらないとCalderone氏は付け加えています。

防御側の侵害回避を支援するため、Unit 42のレポートには、コード署名情報、サーバーアドレス、ハッシュ値、ファイルパスといった侵害指標(IoC)のリストが含まれています。Unit 42はまた、組織に対し、Microsoft Authenticodeのチェーン検証を厳格に実施した上で、次のような防御策を組み合わせることを推奨しています。証明書シリアル番号のブロックリスト化、ファイルサイズにかかわらずスキャンするようセキュリティツールを設定すること、そしてMpClient.dllが非標準のパスから読み込まれていないか監視することです。

レポートによれば、このキャンペーンやその類似事例に対してセキュリティ体制を強化するための防御側の戦略としては、レポートに記載されている永続化の痕跡やファイルドロップのパターンを継続的に監視すること、そしてすべてのC2アドレスおよびpool.supportxmr[.]comへのアウトバウンド接続を直ちにブロックすることが挙げられます。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/vidar-infostealer-smb-malvertising-campaign

ソース: darkreading.com