コンテンツにスキップするには Enter キーを押してください

SocGholishマルウェアが広告ツール経由で拡散、LockBit、Evil Corpなどへのアクセスを提供

投稿日 2025年8月8日

2025年8月7日Ravie Lakshmananマルウェア / 脅威インテリジェンス

Image

SocGholishマルウェアの背後にいる脅威アクターは、Parrot TDSやKeitaro TDSのようなトラフィック分配システム(TDS)を活用し、無防備なユーザーを怪しいコンテンツへとフィルタリング・リダイレクトしていることが観測されています。

「彼らの活動の中核は高度なマルウェア・アズ・ア・サービス(MaaS)モデルであり、感染したシステムが他のサイバー犯罪組織への初期アクセス手段として販売されています」とSilent Pushは分析で述べています。

SocGholish(別名FakeUpdates)は、JavaScriptローダーマルウェアであり、侵害されたウェブサイトを通じて配布され、Google ChromeやMozilla Firefoxなどのウェブブラウザ、またはAdobe Flash PlayerやMicrosoft Teamsなどのソフトウェアの偽のアップデートを装います。これはTA569と呼ばれる脅威アクターに帰属しており、Gold Prelude、Mustard Tempest、Purple Vallhund、UNC1543としても追跡されています。

攻撃チェーンは、SocGholishを展開して初期アクセスを確立し、その侵害されたシステムへのアクセスをEvil Corp(別名DEV-0243)、LockBit、Dridex、Raspberry Robin(別名Roshtyak)など多様な顧客に仲介することを含みます。興味深いことに、最近のキャンペーンではRaspberry RobinがSocGholishの配布経路としても利用されています。

「SocGholish感染は通常、複数の異なる方法で感染したウェブサイトから始まります」とSilent Pushは述べています。「ウェブサイトの感染は、SocGholishペイロードが感染したウェブページから直接JSを注入する直接インジェクションや、中間のJSファイルを使用して関連するインジェクションを読み込むバージョンなどが含まれます。」

侵害されたウェブサイト経由でSocGholishドメインへリダイレクトする以外にも、もう一つの主要なトラフィック源は、Parrot TDSやKeitaro TDSのようなサードパーティTDSを利用し、サイト訪問者の詳細なフィンガープリントを行い、あらかじめ定義された基準に基づいて興味があると判断された場合に特定のウェブサイトやランディングページへとウェブトラフィックを誘導することです。

Keitaro TDSは長らくマルバタイジングや詐欺を超え、エクスプロイトキットローダーランサムウェアロシアの影響工作など、より高度なマルウェアの配布に関与してきました。昨年、Infobloxは、SocGholishがVexTrioのパートナーとして、Keitaroを利用して被害者をVexTrioのTDSへリダイレクトしていたことを明らかにしました。

Image

「Keitaroには多くの正当な用途もあるため、このサービス経由のトラフィックを単純にブロックすることは、過剰な誤検知を引き起こすため困難、もしくは不可能な場合が多いですが、組織は自社のポリシーでこれを考慮することができます」とProofpointは2019年に指摘しています。

Keitaro TDSは、SocGholishおよびTA2727の両方のトラフィックプロバイダーとして機能し、ウェブサイトを侵害してKeitaro TDSのリンクを注入し、それを顧客に販売しているTA2726と関連していると考えられています。

「中間C2(コマンド&コントロール)フレームワークは、被害者が実行時にダウンロードするペイロードを動的に生成します」とSilent Pushは述べています。

「SocGholishの初期インジェクションからWindowsインプラントのデバイス上での実行まで、実行フレームワーク全体がSocGholishのC2フレームワークによって継続的に追跡されています。もしフレームワークが、特定の被害者が『正当』でないと判断した場合、ペイロードの提供は停止されます。」

また、観測されたキャンペーンの重複した性質から、Dridex、Raspberry Robin、SocGholishに関与している元メンバーが存在する可能性があるとサイバーセキュリティ企業は評価しています。

この動向は、ZscalerがRaspberry Robinの更新版について、難読化手法の強化、ネットワーク通信プロセスの変更、意図的に破損させたTOR C2ドメインへの参照の埋め込みなど、検知回避やリバースエンジニアリングの妨害を継続的に試みていることを詳細に報告したこととも重なります。

「ネットワーク暗号化アルゴリズムはAES(CTRモード)からChacha-20に変更されました」と同社は述べています。「Raspberry Robinは、標的システムで権限昇格を得るための新しいローカル権限昇格(LPE)エクスプロイト(CVE-2024-38196)を追加しました。」

この公開はまた、フィッシングメールを利用してVisual Basic 6で書かれたConfuserExで保護されたスティーラーペイロードを配布し、「プロセスホロウィング」と呼ばれる手法で起動・実行するDarkCloud Stealer攻撃の進化とも時を同じくしています。

「DarkCloud Stealerは、難読化技術や複雑なペイロード構造を活用して従来の検知メカニズムを回避する、サイバー脅威の進化の典型例です」とUnit 42は述べています。「2025年4月に観測された配布手法の変化は、回避戦略の進化を示しています。」

翻訳元: https://thehackernews.com/2025/08/socgholish-malware-spread-via-ad-tools.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です