Dragon Boss Solutions署名済みソフトウェアを実行している25,000以上のエンドポイントは、セキュアでない更新ドメインが発見された後、サイレントにハイジャック被害の危険性にさらされました。このドメインは、登録費用に約10ドル費やす意思がある攻撃者なら誰でも武器化することが可能でした。
元々「単なる」積極的なアドウェアと見なされていましたが、AV除去PowerShellペイロード、SYSTEMレベルの権限、およびハイジャック可能な更新チャネルの組み合わせにより、厄介なPUPは事実上既成のサプライチェーンアクセスプラットフォームへと変貌しました。
この事件は3月22日に浮上しました。その当時、ルーチン的なアドウェアに見えるものがHuntressによって監視されている複数の環境全体で警告の波を引き起こしました。
Dragon Boss Solutions LLC署名の実行可能ファイルは、「検索マネタイゼーション研究」を行っていると自らを標榜する企業のものですが、既成の更新メカニズムを悪用してエンドポイント防御を系統的に解体するように設計された多段階ペイロードを配信し始めました。
この誤りは大量の侵害への直接的な経路を作り出しました。chromsterabrowser[.]comを登録した者なら誰でも、すべての影響を受けたエンドポイントの更新チャネルを即座に制御することができ、エクスプロイトも不要で、アンチウイルスはすでにClockRemovalによって無効化されていました。
Huntressはこれを先制し、ドメイン自体を登録してトラフィックをシンクホーリングし、ラボテストでアップデーターが基本的なフォーマットとTLS要件を満たす限り、任意のMSIペイロードを喜んでフェッチして実行することを確認しました。
DNSがシンクホールに向けられると、露出の規模が明らかになりました。24時間以上の期間で、ハイジャック可能なドメインから更新をプルしようとした25,000以上の公開されたシステムが最終的に23,000以上のユニークIPアドレスに変換されました。
感染は124か国に及び、ほとんどのホストが米国に位置し、その後フランス、カナダ、英国、ドイツが続きました。高価値の環境も免れませんでした。
調査者は少なくとも324の感染を機密ネットワークに関連付けました。これには大学、運用技術環境(エネルギーおよび運輸)、政府機関、学校、医療提供者、および複数のフォーチュン500企業が含まれています。
これらは総感染数のわずか1パーセント以上でしたが、無効化されたAV、コード署名されたバイナリ、およびグローバルに到達可能な更新スイッチボードの組み合わせにより、潜在的な影響は不釣り合いに深刻になりました。
このキャンペーンは、Dragon Boss Solutionsによって署名された改変されたChromeバイナリも活用し、–simulate-outdated-no-au=” 01 Jan 2199″などのフラグで起動され、Chromeの自動更新メカニズムを永久に無効化しました。
これは被害者を、攻撃者の制御下にある古く、潜在的に脆弱なブラウザバージョンにロックしました。これはすでに侵害された更新インフラストラクチャーによってもたらされるリスクをさらに悪化させました。
セキュリティチームは、Dragon Boss Solutions署名バイナリ、MbRemovalまたはMbSetupを参照するWMIサブスクリプション、WMILoadおよびClockRemovalに関連するスケジュールされたタスク、疑わしいDefender除外、およびAVベンダードメインをブロックするhostsファイルエントリを主動的にハントするよう促されています。攻撃者が$10を支払ってドメインを登録する前に。
翻訳元: https://cyberpress.org/dragon-boss-update-breach/