Koi Securityのサイバーセキュリティ研究者は、ShadyPandaと呼ばれるグループによる大規模なスパイ活動を明らかにしました。このグループは、約7年間にわたり430万人以上のChromeおよびMicrosoft Edgeブラウザーのユーザーに感染を広げました。攻撃者たちは非常に忍耐強く巧妙な手口を用い、見た目が普通の拡張機能をアップロードしてユーザーの信頼を得た後、静かに危険なスパイウェアへと変貌させました。
調査では2つの大規模な作戦が判明しました。1つはClean Masterなどの拡張機能を利用した30万人規模のリモートコード実行(RCE)バックドア、もう1つはWeTabなどによる400万人規模のスパイウェアキャンペーンです。
欺瞞の進化
ShadyPandaの成功は、時間をかけて信頼を悪用することに依存しており、最初は単純なサイバー犯罪から始まりました。2023年には、同グループは145個の拡張機能(壁紙や生産性アプリを装ったもの)を「nuggetsno15」や「Zhang」などの名義で公開し、アフィリエイト詐欺を行う大規模なキャンペーンを初めて実施しました。
彼らはeBayやAmazonなどのサイトへのリンクにトラッキングコードを追加し、隠れたコミッションを得ていました。2024年にはさらに大胆になり、ブラウザーを積極的に制御し、trovi.comという既知のハイジャッカーを通じて検索をリダイレクトし、リアルタイムの検索データを盗みました。検出を回避するため、マルウェアはセキュリティ研究者がブラウザーの開発者ツールを開いた場合、無害な動作に切り替えることもありました。
2つの主要な現行脅威
脅威1:RCEバックドア攻撃(30万人のユーザー)
この作戦は「長期戦」を採用し、何年も正規に動作していた拡張機能を悪用しました。Clean Master(30万件以上のインストール)など一部の拡張機能は、Googleの「Featured」や「Verified」ステータスまで獲得していました。ところが2024年中頃、静かなアップデートによってこれらが変貌しました。これは、本来ユーザーの安全のために設計された自動アップデート機能が、誰にも気づかれずにマルウェアの攻撃経路となったことを意味します。
これらの更新された拡張機能は、リモートコード実行(RCE)を利用したバックドアとなり、攻撃者が感染したコンピューター上で任意のプログラムを遠隔実行できるようになりました。拡張機能は1時間ごとに外部サーバーに新たなコマンドがないか確認していました。これによりShadyPandaは、ユーザーが訪れたすべてのウェブサイトからブラウザーの完全な「フィンガープリント」収集まで、ほぼすべてを監視できたとKoi Securityのブログ記事は説明しています。
脅威2:スパイウェア帝国(400万人のユーザー)
別の大規模な作戦では、WeTab(単独で300万インストール)を含む5つの拡張機能が積極的にデータを収集していました。これには、訪問したすべてのURL、すべての検索クエリ、さらにはマウスクリックまで含まれ、そのデータは中国のサーバーへ送信されていました。
この脅威は個人ユーザーだけにとどまりません。企業にとっては、感染したコンピューターからAPIキーの盗難や社内システムの侵害につながる可能性もあります。
この長期にわたる攻撃は、公式マーケットプレイスが拡張機能の初回提出時の審査に重点を置きすぎて、その後の挙動の監視が不十分であるという重大な弱点を露呈しました。これによりShadyPandaは、攻撃を仕掛ける前に着実に膨大なユーザーベースを築くことができました。
最も重要な教訓は、「信頼」そのものが最大の脆弱性となったことです。ユーザーは、高評価の拡張機能であってもインストールには十分注意し、次なる静かな攻撃を防ぐ必要があります。
サイバーセキュリティの専門家はShadyPanda作戦の重要性についてコメントし、そのリスクが企業に及ぶことを強調しました。Cequence Securityの最高情報セキュリティ責任者Randolph Barr氏は、攻撃者の戦略的な性質を指摘しました。
「ShadyPandaの最近の行動は、私たちがこれまで見てきた中で最も高度かつ長期にわたるブラウザーサプライチェーン攻撃の一つであることを示しています。技術的な側面だけでなく、その忍耐力も重要です」とBarr氏は述べています。
彼はグループが信頼をどのように活用したかについて、「ShadyPandaは、何十万件ものインストールを獲得したクリーンな拡張機能をリリースし、Googleの『Featured』や『Verified』の信頼バッジを獲得し、数年後も継続的なアップデートを通じてこれらのバッジを活用することで、長期的な戦略へのコミットメントを示しました」と述べました。
Diane Downie氏(Black Duckのシニアソフトウェアアーキテクト)は、検出の難しさとより厳格なセキュリティの必要性に注目し、「悪意あるコードは正規のコードと非常によく似ており、同じ利便性の機能を悪用しつつも悪意を持っているため、実際に大きな課題となっています…ShadyPanda事件は、悪意ある行為者がどこまでやるかを如実に示しています」と述べました。
彼女は組織に対し、「このレベルの高度化が新たな常態となる中、組織はシステムに対して真剣なゼロトラスト姿勢を取る必要があります」と助言しました。
Trey Ford氏(Bugcrowdのチーフストラテジー&トラストオフィサー)は、標準的なセキュリティ運用の欠陥を指摘し、「ShadyPandaは、Chromeの審査プロセスが多くの企業のセキュリティチームと同様、初回提出に重点を置いており…承認後の継続的な挙動には注目していないことを学びました」と述べました。
彼は「最も恐ろしい攻撃者は長期戦を仕掛けてくる…検知と防御には継続的な警戒が必要だ」と締めくくりました。
翻訳元: https://hackread.com/shadypanda-attack-spied-chrome-edge-users/
