検索エンジン最適化(SEO)ポイズニングの手法により、正規ツールを装った悪意のあるソフトウェアをユーザーにダウンロードさせるよう仕向けます。
この攻撃キャンペーンでは、検索結果を操作して、人気アプリケーションになりすましたBAT実行ファイルを含む偽のリポジトリやアーカイブを宣伝します。
ユーザーがこれらのファイルを実行すると、マルウェアはコマンド&コントロール(C2)サーバーと通信を確立し、攻撃者にシステムへの完全なアクセスを与えるリモート管理ツールなどの二次ペイロードを配信します。
ユーザーがこれらの結果をクリックすると、正規のダウンロードサイトを模倣するよう設計された悪意のあるホスティング基盤へ誘導されます。
これらのプラットフォームでホストされているZIPアーカイブには、無警戒なユーザーが自動的に、または開いた際に実行されるBATファイル(バッチスクリプト)が含まれています。
これらのBATファイルは、よく知られたアプリケーションやユーティリティになりすますよう慎重に作り込まれています。実行中に、スクリプトは攻撃者が管理するC2サーバーに接続し、追加のペイロードを取得します。
このキャンペーンは、特定のソフトウェアソリューションを積極的に探しているユーザーを標的にした多段階の感染プロセスを示しています。脅威アクターは、不正なページやリポジトリを作成して検索インデックスを汚染し、検索結果で上位に表示させます。
この2段階のアプローチにより、攻撃者は攻撃戦略の柔軟性を保ち、目的や標的システムの構成に応じて、異なるリモート管理ツールやマルウェア亜種を展開できます。
リポジトリの役割
攻撃者は、正規および偽のオンラインリポジトリを悪用して、悪意のあるアーカイブをホストしてきました。
リポジトリプラットフォームを活用することで(侵害された正規サービスであれ、新たに作成された不正なものでも)、脅威アクターは提供物の正当性が高いかのように見せかけます。
オープンソースのツールやユーティリティを探しているユーザーは、正規のリソースにアクセスしていると思い込み、これらの汚染されたリポジトリから知らずにダウンロードしてしまう可能性があります。
ZIP圧縮の使用も、ペイロードの真の性質を覆い隠します。ユーザーは、リポジトリからダウンロードしたアーカイブファイルを信頼しがちで、セキュリティシステムがすでに内容を検査済みだと考えてしまいます。
しかし、これらのアーカイブ内のBATファイルが実行されると、マルウェアの能力は、感染がシステムに定着した後になって初めて明らかになります。
この攻撃キャンペーンには、セキュリティ研究者が侵害されたシステムを特定するために利用できる、いくつかの特徴的な要素が含まれています。ZIPアーカイブ名は通常、正規ソフトウェア配布物を模しており、一見すると本物に見えます。
内部のBATファイルは、難読化と正規のシステムコマンドを用いて、セキュリティ警告の発動を回避します。
実行されると、これらのスクリプトは攻撃者のインフラへネットワークリクエストを行い、永続化の仕組みを確立し、リモート管理ツールをダウンロードします。
防御策
組織および個人ユーザーは、この脅威を軽減するためにいくつかの対策を採用すべきです。まず、検索結果に頼ってソフトウェアを見つけるのではなく、公式プロジェクトサイトに直接アクセスしてダウンロード元を確認してください。
次に、実行前にセキュリティツールでダウンロードしたファイルを検査してください。特に、見慣れない入手元からダウンロードしたファイルは注意が必要です。
第三に、アプリケーションのホワイトリスト化ポリシーを実装し、未承認のBATファイルや実行ファイルが動作しないようにしてください。
このSEOポイズニングキャンペーンは、検索を利用したソーシャルエンジニアリング攻撃がもたらす脅威が依然として続いていることを浮き彫りにしています。
エンドポイント検知・対応(EDR)ソリューションは、疑わしいBATファイルの実行、Windowsスクリプトによって開始される不審なネットワーク接続、未承認のリモートアクセスツールのインストールを監視すべきです。
ネットワークセキュリティチームは、既知のC2インフラをブロックし、悪意のある通信の兆候がないか、ユーザーのワークステーションからの外向き接続を監視すべきです。
正規に見える配信メカニズムと悪意のあるペイロードを組み合わせることで、攻撃者は初期偵察からシステム侵害までのギャップを効果的に埋めています。
セキュリティ意識向上トレーニングでは、ダウンロード元を検証する重要性と、信頼できない出所のファイルを実行することに伴うリスクを強調すべきです。
翻訳元: https://gbhackers.com/seo-poisoning/
