TokyoBlackHatNews

bleepingcomputer.com 4分で読了

Predatorスパイウェアがゼロクリック攻撃に新たな感染経路を使用

Image

監視企業IntellexaのPredatorスパイウェアは「Aladdin(アラジン)」と名付けられたゼロクリック感染メカニズムを使用しており、悪意ある広告を閲覧するだけで特定の標的を侵害していました。

この強力でこれまで知られていなかった感染経路は、複数の国にまたがるペーパーカンパニーの背後に巧妙に隠されていましたが、今回、新たな共同調査により明らかになりました。この調査は、Inside StoryHaaretz、およびWAV Research Collectiveによって行われました。

この調査は、「Intellexa Leaks」と呼ばれる、社内文書やマーケティング資料の流出コレクションに基づいており、アムネスティ・インターナショナル、Google、Recorded Futureのフォレンジックおよびセキュリティ専門家による技術調査によって裏付けられています。

Image
流出したIntellexaのマーケティング資料
出典:アムネスティ・インターナショナル

広告ベースのスパイウェア配信

2024年に初めて展開され、現在も稼働・積極的な開発が続いているとみられるAladdinは、商用モバイル広告システムを悪用してマルウェアを配信します。

この仕組みは、標的のグローバルIPアドレスやその他の識別子によって特定されたターゲットに対し、武器化された広告を強制的に配信します。需要側プラットフォーム(DSP)を通じて広告プラットフォームに指示を出し、広告ネットワークに参加している任意のウェブサイト上でその広告を配信させます。

「この悪意ある広告は、信頼できるニュースサイトやモバイルアプリなど、広告を表示するあらゆるウェブサイト上で配信される可能性があり、標的が通常目にする他の広告と見分けがつかないように表示されます」と、アムネスティ・インターナショナルのSecurity Labは説明しています

「社内資料によると、この広告を閲覧するだけで標的のデバイスへの感染が引き起こされ、広告自体をクリックする必要はないと説明されています。」

Image
Aladdinの概要
出典:アムネスティ・インターナショナル

感染の仕組みの詳細は明らかになっていないものの、Googleは、広告がIntellexaのエクスプロイト配信サーバーへのリダイレクトを引き起こすと述べています。

これらの広告は、アイルランド、ドイツ、スイス、ギリシャ、キプロス、UAE、ハンガリーなど複数の国にまたがる複雑な広告企業ネットワークを経由して配信されています。

Recorded Futureはこの広告ネットワークをさらに深く調査し、主要人物、企業、インフラの間の関連性を明らかにし、それらの企業の一部をレポートの中で名指ししています

このような悪意ある広告に対する防御は複雑ですが、ブラウザで広告をブロックすることは有効な第一歩となるでしょう。

もう一つの潜在的な防御策としては、ブラウザを設定してトラッカーからグローバルIPアドレスを隠すことが挙げられます。

しかし、流出した文書によると、Intellexaは依然として、顧客の所在国における国内のモバイル通信事業者からその情報を取得できるとされています。

Countries confirmed to host Predator activity
Predatorの活動が確認されている国
出典:Recorded Future

Samsung Exynosとゼロデイエクスプロイト

今回の流出で明らかになったもう一つの重要な発見は、「Triton(トリトン)」と呼ばれる別の配信経路の存在が確認されたことです。これはSamsung Exynosを搭載したデバイスをベースバンドエクスプロイトで標的にし、感染の足がかりとして2Gへのダウングレードを強制することができます。

アムネスティ・インターナショナルのアナリストは、この経路が現在も使用されているかどうかは不明だとしつつ、「Thor(トール)」と「Oberon(オベロン)」というコードネームで呼ばれる、類似している可能性のある2つの配信メカニズムの存在にも言及しています。これらは無線通信または物理的アクセスによる攻撃を伴うと考えられています。

Googleの研究者は、Intellexaをゼロデイエクスプロイトの観点で最も活動的な商用スパイウェアベンダーの一つと位置付けており、2021年以降にTAGが発見・記録した70件のゼロデイ悪用事例のうち15件に関与しているとしています。

Googleによると、Intellexaは自社でエクスプロイトを開発するだけでなく、必要なターゲティング範囲を完全にカバーするため、外部の組織からエクスプロイトチェーンを購入することもあります。

ギリシャでIntellexaに対する制裁や捜査が続いているにもかかわらず、アムネスティ・インターナショナルによれば、このスパイウェア事業者は依然として活発に活動しています。

Predatorがよりステルス性を高め、追跡が困難になるにつれ、ユーザーには、Androidの高度な保護(Advanced Protection)やiOSのロックダウンモード(Lockdown Mode)など、モバイルデバイス上で追加の保護機能を有効にすることが推奨されています。

翻訳元: https://www.bleepingcomputer.com/news/security/predator-spyware-uses-new-infection-vector-for-zero-click-attacks/

ソース: bleepingcomputer.com
#Aladdin感染ベクター #Amnesty Internationalの調査 #Intellexa #Predatorスパイウェア #Samsung Exynosベースバンド脆弱性 #ゼロクリック攻撃 #ゼロデイ脆弱性の悪用 #モバイル広告を悪用したマルウェア配信 #モバイル端末のスパイウェア対策 #商用スパイウェア産業

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用