デジタル署名されたアドウェアツールがSYSTEM権限で実行されるペイロードを展開し、教育、公共事業、政府、医療セクターを含む数千のエンドポイント上でアンチウイルス保護を無効化しました。
1日間で、研究者は124か国の23,500以上の感染ホストがオペレーターのインフラに接続しようとしているのを観察し、高価値ネットワークに数百の感染エンドポイントが存在しています。
単なるアドウェア以上のもの
マネージドセキュリティ企業のHuntressのセキュリティ研究者は3月22日に、潜在的に不要なプログラム(PUP)と見なされた署名付き実行可能ファイルが複数のマネージド環境でアラートをトリガーした場合にキャンペーンを発見しました。
PUPまたはアドウェアは、広告ポップアップ、バナーの表示、またはブラウザリダイレクトを通じて開発者に収益を生成することが典型的な役割であるため、悪意のあるものよりも迷惑なものと見なされています。
Huntressの研究者によると、ソフトウェアはDragon Boss Solutions LLCという会社によって署名されており、「検索マネタイズリサーチ」活動に関与し、様々なツール(例:Chromstera Browser、Chromnius、WorldWideWeb、Web Genius、Artificius Browser)を推進しており、これらはブラウザとしてラベル付けされていますが、複数のセキュリティソリューションによってPUPとして検出されています。
ユーザーに広告やリダイレクトで迷惑をかけることを超えて、Huntressの研究者は、Dragon Boss Solutionsのブラウザはアンチウイルスキラーを展開する高度なアップデートメカニズムも備えていると言っています。
セキュリティの無効化
Huntressの研究者は、このオペレーションが商用Advanced Installerオーサリングツールのアップデートメカニズムに依存してMSIとPowerShellペイロードを展開していることを発見しました。
アップデートプロセスの設定ファイルの分析により、オペレーションが完全にサイレントで、ユーザーとの相互作用がないようにする複数のフラグが明らかになりました。また、昇格された権限(SYSTEM)でペイロードをインストールし、ユーザーが自動アップデートを無効にするのを防ぎ、頻繁に新しいアップデートをチェックしました。
研究者によると、アップデートプロセスはGIF画像に偽装されたMSIペイロード(Setup.msi)を取得し、現在VirusTotal上で5つのセキュリティベンダーのみによって悪意のあるものとしてフラグが付けられています。
MSIペイロードには、Advanced InstallerがPowerShellスクリプトの実行、システム上の特定のソフトウェアの検出、または「!_StringData」という名前の別ファイルで定義された他のカスタムアクションなどの特定のタスクに使用する複数の正規のDLLが含まれています。インストーラーの指示が含まれています。
Huntressによると、メインペイロードを展開する前に、MSIインストーラーは管理者ステータスの確認、仮想マシンの検出、インターネット接続の確認、およびMalwarebytes、Kaspersky、McAfee、およびESETからインストール済みアンチウイルス(AV)製品のレジストリのクエリを実行して偵察を実施します。
セキュリティ製品はClockRemoval.ps1という名前のPowerShellスクリプトを使用して無効化されます。このスクリプトは2つの場所に配置されます。研究者は、Opera、Chrome、Firefox、およびEdgeブラウザのインストーラーもターゲットにされていると言っており、これはアドウェアのブラウザハイジャッキングとの潜在的な干渉を避けるためである可能性があります。
.jpg)
ClockRemoval.ps1スクリプトはまた、システムの起動時、ログオン時、および30分ごとにルーチンを実行して、サービスの停止、プロセスの強制終了、インストールディレクトリとレジストリエントリの削除、ベンダーのアンインストーラーのサイレント実行、およびアンインストーラーが失敗した場合のファイルの強制削除により、AV製品がシステムにもはや存在しないことを確認します。
また、ホストファイルを変更してベンダーのドメインをブロックし、null-routingすることで(0.0.0.0にリダイレクト)、セキュリティ製品が再インストールまたは更新されないようにします。
分析中に、Huntressはオペレーターがメインアップデートドメイン(chromsterabrowser[.]com)またはキャンペーンで使用されるフォールバックドメイン(worldwidewebframework3[.]com)を登録していないことを発見し、すべての感染ホストからの接続をsinkhole化する機会を提示しました。
そのため、彼らはメインアップデートドメインを登録し、「誤った手に渡る可能性がある、何でもあり得る指示を求めて到達する数万台の侵害されたエンドポイント」を監視しました。
IPアドレスに基づいて、研究者は高価値ネットワーク内の324個の感染ホストを特定しました:
- 北米、ヨーロッパ、アジアの221の学術機関
-
エネルギーおよび輸送セクター、ならびに重要インフラプロバイダーの41の運用技術ネットワーク
-
35の市政府、州機関、および公共事業
-
24の初等・中等教育機関
-
3つの医療組織(病院システムとヘルスケアプロバイダー)
-
複数のフォーチュン500企業のネットワーク
BleepingComputerはDragon Boss Solutionsに連絡しようとしましたが、彼らのサイトはもはや操作されていないため、連絡先情報を見つけることができませんでした。
Huntressは、悪意のあるツールが現在AVキラーを使用していますが、感染したシステムにはるかに危険なペイロードを導入するメカニズムが実装されており、いつでも攻撃をエスカレートするために活用できる可能性があることを警告しています。
さらに、メインアップデートドメインが登録されていないため、誰でもそれを要求し、すでに感染しており、セキュリティソリューションで保護されていない数千のマシンに任意のペイロードをプッシュし、https://www.bleepingcomputer.com/news/security/signed-software-abused-to-deploy-antivirus-killing-scripts/
