新たに発覚した高度持続的脅威(APT)キャンペーンは、RU-APT-ChainReaver-L として追跡されており、信頼できるファイルホスティングサイトと長期間運用されているGitHubアカウントを悪用して、Windows、macOS、iOSユーザーに対して大規模かつ密かにマルウェアを配信しています。
このキャンペーンは、Mirrored.toやMirrorace.orgなどの人気のあるミラーサイトやファイル配布ポータルを悪用し、正規のダウンロードを探している訪問者が攻撃者によって制御されたリダイレクトチェーンを経由するようにコードを改変しています。
これらのサイトでは、ユーザーには見慣れたダウンロードレイアウトが表示されますが、新しい「スポンサー付き」または強調表示された「Files DL」ボタンや、拡大された「Download Now / Fast Download」プロンプトは、実際には意図したファイルホストではなく悪意のあるインフラストラクチャにユーザーを送信します。
そこから、感染経路は被害者のオペレーティングシステムに基づいて分岐し、この作戦を非常に適応性の高いものにしています。
Windowsユーザーは、MediaFire、MegaFile、Dropboxなどの一般的なクラウドストレージプラットフォームでホストされているマルウェアが仕込まれたアーカイブにリダイレクトされ、多くの場合「VirtualBox-6.1.10」や「Free Download Files.rar」などのインストーラーやソフトウェアバンドルとしてラップされています。
セキュリティアナリストはこれを近年、一般ユーザーと組織環境の両方を対象とした最大かつ最も複雑なサプライチェーン作戦の1つと説明しています。
侵入の証拠とこのサイトの侵害を確認するため、GRAPH サイバー脅威インテリジェンス(CTI)チームはより詳細な調査を実施しました。
macOSユーザーは、ターミナルコマンドを1つコピーして実行するように指示する洗練された「ClickFix」ソーシャルエンジニアリングページの標的となり、これにより多段階のファイルレスペイロード配信がトリガーされ、情報窃取マルウェアがメモリ内で実行されます。
GitHubリポジトリの武器化
iOSユーザーは、発行者が詐欺的と思われるVPNアプリのApp Storeリスティングに誘導され、インストール後にフィッシングフローや悪意のあるポップアップにさらされます。
同じインフラストラクチャはGitHubにも拡張されており、少なくとも50の古いまたは評判の良いユーザーアカウントが侵害され、人気のあるソフトウェアやゲームのクラック、アンロッカー、アクティベーションツールキットとしてブランド化された悪意のあるリポジトリをホストするために再利用されています。
ユーザーが正規のファイル共有サービスの1つを選択した場合、プロセスの次のステップに進みます。
これらのリポジトリは、洗練されたREADME、偽のユーザーレビュー、偽のVirusTotal「クリーン」主張を表示し、その後、被害者をGoogle Sitesやその他の信頼できるプラットフォーム上に実装された攻撃者のページにリダイレクトしてから、最終的なマルウェアペイロードを配信します。
技術的分析により、Windowsマルウェアの亜種は強力な情報窃取型として機能し、ブラウザの資格情報、メッセンジャーデータベース、暗号通貨ウォレット、デスクトップおよびドキュメントファイルなどを収集してから、HTTPを介して攻撃者のサーバーにデータを流出させることが示されています。
MacSyncと呼ばれるスティーラーファミリーを含むmacOSツールは、ブラウザデータ、Apple Notes、SSHおよびクラウドキー、さらにはLedgerおよびTrezorウォレットアプリをトロイの木馬化されたバージョンで置き換えて、リカバリーシードをキャプチャし、暗号資産を流出させることを標的としています。
多くのサンプルは複数の企業の有効なコード署名証明書を使用しており、スキャン時に主流のアンチウイルスエンジンのいくつかによって検出されず、従来の防御を大幅に複雑にしています。
緩和策
研究者は、このキャンペーンには100以上のドメインが関与していると推定しており、感染ページ、リダイレクター、コマンドアンドコントロールエンドポイントをカバーしており、検出を先取りするためにインフラストラクチャ、ペイロード、パスワードが頻繁にローテーションされています。
ユーザーは、Download EasyLauncherボタンをクリックしてマルウェアファイルをダウンロードしました。本レポートの執筆時点で、マルウェアファイルはEasyBin.zipという名前でした。
運営者はまた、正規のエコシステムであるGitHub、Google Sites、Dropboxなどのよく知られたサービスに大きく依存し、通常のトラフィックパターンに溶け込み、セキュリティオペレーションセンターの監視を回避しています。
組織は、従業員がミラーサイトやコードホスティングプラットフォームからツール、クラック、メディアを定期的にダウンロードする場合、特に従来のソフトウェアサプライチェーンリスクと同様にユーザー側のサプライチェーンベクトルを真剣に扱うよう求められています。
推奨される防御策には、拡張検出および応答(XDR)、ファイル転送の厳格な監視、信頼できないダウンロードの積極的なフィルタリングまたは分離、偽の「人間認証」、ターミナルワンライナーインストール、過度に良い話のアクティベーションツールキットに焦点を当てた継続的なユーザー意識向上トレーニングが含まれます。
翻訳元: https://gbhackers.com/ru-apt-chainreaver/
