長期間にわたるマルバタイジング・キャンペーンが、トロイの木馬化されたPDF文書を通じて、世界中の組織のネットワークにバックドア型マルウェアを投下しています。
TamperedChefと名付けられたこのマルバタイジング・キャンペーンは以前から特定されていましたが、Sophosの研究者は、標的化が欧州全域に広がっていることを詳述しました。最も一般的な被害者はドイツ、英国、フランスの組織です。
このキャンペーンは幅広い業界の組織に感染させていますが、研究者は、専門的な技術機器に大きく依存する組織がしばしば被害を受けている点を指摘しました。こうした組織では、利用者が取扱説明書を参照したり検索したりすることが多いと考えられます。
TamperedChefはまさにこの行動を悪用し、認証情報の窃取とネットワークへのバックドアアクセスに焦点を当てたインフォスティーラーで組織に感染させています。
このキャンペーンは検知を回避するよう設計されており、ネットワーク上での永続性を確保するため、マルウェアの展開に遅延を設けています。
「この大規模で多層的な配布ネットワークには、遅延起動/休眠期間、デコイソフトウェア、段階的なペイロード配信、段階的なペイロード配信、コード署名証明書の悪用、エンドポイント保護機構を回避する取り組みなど、複数の高度な戦術が含まれていました」とSophosは述べています。
TamperedChefの攻撃チェーンの詳細
攻撃チェーンは、誰かが検索エンジンを使って何かを探すところから始まります。特に、家電のマニュアルやPDF編集ソフトに関するクエリが狙われます。
このキャンペーンの一環として、攻撃者は関連する検索結果の最上部に表示される悪意ある広告を作成しています。SEO、有料プロモーション、またはその両方によって表示されます。狙いは単純です。広告がページの最上部にあり、ユーザーが探しているものが含まれていそうに見えれば、ユーザーはそれをクリックします。
これらの広告は、ユーザーを悪意あるサイトへ誘導し、ファイルのダウンロードを促します。ユーザーが探している文書をダウンロードしているかのように装うのです。これがインフォスティーラーへの感染につながります。
「実行されると、インフォスティーラーはブラウザに保存されたデータを収集し、データ流出のためにコマンド&コントロール(C2)サーバーへの接続を確立し、追加のペイロードを取得し、さらにManualFinderApp.exeという追加のペイロードを取得します。このファイルは、インフォスティーラーおよびバックドアとして機能するトロイの木馬化されたアプリケーションです」とSophosは述べています。
しかし、検知(およびユーザーの疑念)を避けるため、悪意ある挙動はダウンロードから56日後まで開始されません。
「TamperedChefキャンペーンの背後にいる脅威アクターは、説得力のある悪意あるアプリケーションを作り込み、標的型広告を活用して大規模な配布を実現しました」とSophosは述べています。
TamperedChefのようなマルバタイジングのキャンペーンの被害に遭わないために、Sophosは、オンライン広告内のインストールリンクやポップアップをクリックせず、必要な文書は公式サイトからダウンロードするようユーザーに推奨しました。
組織向けには、情報セキュリティチームが適切な統制を適用し、ファイルやソフトウェアが承認済みで信頼できるソースからのみダウンロードできるようにすることが推奨されます。
また、多要素認証をアカウントに適用し、たとえパスワードが盗まれた場合でも、積極的に侵害されることから保護できるようにすべきです。
翻訳元: https://www.infosecurity-magazine.com/news/tamperedchef-malvertising-fake-pdf/
