Huntressの研究者たちは、アドウェアに見えるものの中に隠された巧妙な脅威を発見しました。わずか10ドルで購入可能な単一の未登録ドメインが、世界中の25,000を超える侵害されたエンドポイントに対して悪意のある行為者に黙然たる支配を与える可能性があったことが明らかになっています。
今回の調査の中心となっているソフトウェアは、アラブ首長国連邦を拠点とする検索マネタイズ研究企業と称するDragon Boss Solutionsによって署名されています。
長年にわたりブラウザハイジャック機能を備えた潜在的に不要なプログラム(PUP)として分類されていましたが、Huntress研究者による分析の結果、このソフトウェアはより危険なものへと静かに進化していたことが判明しました。
2025年3月から、Huntress分析者は、昇格した特権で実行されるPowerShellベースのペイロードをデプロイし、サイバーセキュリティ製品を無効化し、更新サーバーをブロックし、再インストールを防止する動作を観測しました。
このマルウェアは5つのスケジュールされたタスクとWMIイベントサブスクリプションを通じて永続性を実現し、再起動後も生き残ります。また、将来のペイロードをステージングするために使用されるディレクトリに対してWindows Defenderの除外を追加します。これには暗号マイナー、ランサムウェア、またはインフォスティーラーが含まれる可能性があります。
最も懸念される発見は、ソフトウェアの更新設定にありました。ペイロード更新を配信するために使用されるプライマリドメイン(chromsterabrowser[.]com)が未登録でした。誰でもそれを購入して、これらのマシンでは既にアンチウイルス保護が無効化されていたため、悪用を必要とせずに影響を受けるすべてのホストに任意のコードを提供する可能性がありました。
Huntressは他の誰かに購入される前にドメインを登録し、それをシンクホールに指し、結果を監視しました。更新命令を求めていた生産環境内の実際のエンドポイントを表す約25,000個の一意のIPアドレスがアクセスしました。
感染は124の国にわたり、米国が12,000を超えるホストの大部分を占めており、その後フランス、カナダ、英国、ドイツが各地で約2,000ホストを有していました。
高価値ターゲット間での感染規模は特に懸念されました。観測されたホストのうち、324ホストは機密ネットワークに属しており、221の大学・大学院、41の運用技術(OT)ネットワーク、35の政府機関、および3つのヘルスケア組織が含まれていました。
特定されたOTネットワークは、電力会社、輸送事業者、電力協同組合、および重要インフラに属していました。影響を受けたネットワークの中には複数のフォーチュン500企業も特定されました。
Huntressは組織に対して妥協の指標(IoCs)を探して、このキャンペーンからの潜在的な影響を検出するよう促しています。
