ハッカーがSEOポイズニングや検索エンジン広告を利用し、偽のMicrosoft Teamsインストーラーを宣伝してWindowsデバイスにOysterバックドアを感染させ、企業ネットワークへの初期アクセスを得ていることが確認されています。
Oysterマルウェア(別名:Broomstick、CleanUpLoader)は、2023年中頃に初めて登場したバックドアで、複数のキャンペーンに関連付けられています。このマルウェアは攻撃者に感染したデバイスへのリモートアクセスを提供し、コマンドの実行、追加ペイロードの展開、ファイルの転送などを可能にします。
Oysterは一般的に、マルバタイジングキャンペーンを通じて拡散されており、PuttyやWinSCPなどの人気ITツールになりすましています。Rhysidaのようなランサムウェアオペレーションも、このマルウェアを利用して企業ネットワークへの侵入を行っています。
偽のMicrosoft Teamsインストーラーがマルウェアを拡散
Blackpoint SOCが発見した新たなマルバタイジングおよびSEOポイズニングキャンペーンでは、攻撃者が「Teams download」と検索した際に表示される偽サイトを宣伝しています。
出典:Blackpoint
広告やドメイン自体はMicrosoftのドメインを偽装していませんが、teams-install[.]topというウェブサイトに誘導され、MicrosoftのTeamsダウンロードサイトを装っています。ダウンロードリンクをクリックすると、「MSTeamsSetup.exe」というファイルがダウンロードされますが、これは公式Microsoftダウンロードと同じファイル名です。
出典:Blackpoint
悪意あるMSTeamsSetup.exe [VirusTotal]は、「4th State Oy」および「NRM NETWORK RISK MANAGEMENT INC」から発行された証明書でコード署名されており、ファイルの正当性を装っています。
しかし、実行すると偽インストーラーは「CaptureService.dll」という悪意あるDLL [VirusTotal] を%APPDATA%\Roamingフォルダにドロップします。
永続化のため、インストーラーは「CaptureService」という名前のスケジュールタスクを作成し、11分ごとにDLLを実行することで、バックドアが再起動後も有効であることを保証します。
この手口は、過去の偽Google ChromeやMicrosoft TeamsインストーラーによるOysterの拡散と類似しており、SEOポイズニングやマルバタイジングが企業ネットワーク侵害のための人気手法であり続けていることを示しています。
「この活動は、信頼されたソフトウェアを装ったコモディティバックドアを配布するために、SEOポイズニングや悪意ある広告が引き続き悪用されていることを浮き彫りにしています」とBlackpointは結論付けています。
「今年初めに観測された偽PuTTYキャンペーンと同様に、脅威アクターは検索結果や有名ブランドへのユーザーの信頼を悪用して初期アクセスを得ています。」
IT管理者は高い権限を持つ認証情報へのアクセスを得るための標的となりやすいため、検証済みのドメインからのみソフトウェアをダウンロードし、検索エンジン広告のクリックは避けるよう推奨されています。
