出典:Artem Medvediev via Alamy Stock Photo
ソフトウェアアップデートが、アドウェアプログラムをアンチウイルス(AV)破壊ツールに一変させ、5大陸にわたる約24,000台のコンピュータシステムをその後のサイバー攻撃に備えた状態にしました。
人々は一般的にアドウェアや、その他の潜在的に不要なプログラム(PUP)を、単なる厄介な存在としてしか見ていません。PUPが可愛らしい頭文字であり、「潜在的に不要なプログラム」という名前が、これらのプログラムが実際に何であるかについての不必要に丁寧な言い換えである(つまり、マルウェア、合法的なソフトウェアに見せかけたもの)ということが、状況を悪化させています。
昨年、企業に偽装した1つの脅威アクターが、世界にこれらの厄介なプログラムが実際に何ができるかを示すために全力を尽くしました。世界中の数万人のやや不満を感じている個人と組織に感染した後、その悪質なアップデートがアドウェアを完全なマルウェアに変えました。幸いなことに、わずか10ドルと少しの努力で、Huntressの研究者はマルウェアの主要なアップデートドメインを特定して無効化し、それ以上の損害を軽減しました。
アドウェアキャンペーンが危険に豹変
このキャンペーンの背後にある脅威アクターDragon Boss Solutions LLCは、アラブ首長国連邦(UAE)に拠点を置く登録企業だと主張しています。そのCrunchbaseプロフィールには、「ブラウザ拡張機能、ソフトウェア、デスクトップアプリケーション向けの最高の検索マネタイゼーションソリューションを見つけるための研究に従事している」と記載されており、これはブラウザとアプリケーションでアドウェアを実行していることを言い換えた言い方です。そのアドウェアは通常、アンチウイルス(AV)プログラムによってフラグが立てられており、約1年前に、その所有者たちはそれを修正するために何かをすることを決めました。
Dragon BossのPUPは、「Advanced Installer」と呼ばれるありふれた、しかし驚くほど知られていないプログラムを使用して、すべてのファイルなどをスムーズなインストールプロセスに整理しています。Advanced Installerの最も便利な機能の1つはアップデートツールであり、これはAdvanced Installerでパッケージ化されたプログラムの新しいアップデートを自動的かつ定期的にチェックします。2025年3月22日の早朝に、Dragon Bossはワールドワイドのすべてのインスタンスにアップデートをプッシュしました。
そのアップデートに隠された悪意のペイロードは、ESET、McAfee、Kaspersky、Malwarebytesなどのアンチウイルスを含む、Dragon Bossアドウェアを認識してフラグを立てるセキュリティツールを無効化するように設計されていました。さらに念のため、スケジュールされたタスク経由で永続性も確立し、将来のペイロードがWindows Defenderから除外されるように手配し、その他の処理も行いました。Huntress研究者は、このペイロードがすべての悪意のある操作がインラインコードコメントで整然と説明されているため、人工知能(AI)ツールの助けを借りて書かれた可能性があると推測しました。
AVソリューションを無効化し、永続性を確立することにより、アドウェアはそのビジネスを中断することなくより効果的に行うことができました。ただし、文脈を外すと、それはちょうど脅威アクターが世界中の数千のシステムをバックドア化し、その後のサイバー攻撃の段階を整えているように見えました。別のアップデートを使用して、Dragon Bossはランサムウェア、ボットネット、または他の種類の悪意のあるペイロードを感染システムに簡単にアップロードできた可能性があります。
脅威アクターがそうする意図を欠いていたとしても、他の任意の脅威アクターがそうすることができたはずです。Dragon Bossアドウェアの各インスタンスには、アップデートをプルする主要URLと、バックアップがありました。研究者がそれを調査したとき、彼らはインプラントがセカンダリドメインからアップデートを受け取っている一方で、その主要なものは不可解に登録されていない状態のままであることを発見しました。つまり、どこを見るべきかを知っている誰でも、これらすべてのインプラントがどこから指示を受け取っているのかを特定し、そのドメインをポケットマネーで登録し、犠牲者の無料セットに独自のマルウェアを即座にプッシュすることができました。
Huntress研究者は最初にそうして、キャンペーンを無効化しました。そうすることで、彼らはDragon Bossのアドウェアが124カ国の23,500台以上のコンピュータに拡散していることを発見しました。ただし、半分は米国に基づいており、他のほとんどは同様に裕福な西側諸国にありました。全体のわずかな割合ですが、35の政府機関、41の運用技術(OT)ネットワーク、221の高等教育機関、および一部のFortune 500企業を含む高価値組織の多くがそのリストにありました。
Huntressの主任セキュリティ運用センター分析官であるRyan Dowdは、「ほとんどのインスタンスは2022年に遡る早期からデバイスに存在しており、他のPUPを伴っていたため、バンドルされたアドウェアであった可能性がありますが、どちらの方法でも証拠はありません」と指摘しています。
アドウェアとマルウェアの境界線
「PUPと従来のマルウェアの区別は、多くの場合、コード自体の機能ではなく、ユーザーの同意と技術的意図という細い境界線に頼っています」とDowdは言います。「ほとんどの場合、これらのタイプのプログラムは、収益を生成するために永続化して生き残りたいため、エンドポイント検出および応答(EDR)の監視下を飛行していますが、それが常に当てはまるわけではありません。特に、アドウェアはグレーハットと黒ハット行動の間の線を長い間ぼかしてきました。
Dragon Bossアプローチとは別に、「アドウェアが広告を通じてマルウェアとランサムウェアを密かに配信する長く歴史あるケースがあります」と広告詐欺撲滅者でFouAnalyticsの創設者であるDr. Augustine Fouは言っています。「この技術は悪党にとって特に効果的であり、研究者にとって特に検出が難しいです。」
「例えば、特定の病院をジオフェンシングすることで、脅威アクターは、昼休み中にオフィスコンピュータから通常のウェブページを閲覧している医者に対して、ランサムウェアコードが含まれた広告を外科的に配信することができます」と彼は説明しています。「多くの場合、悪意のある広告はマクドナルドなどの評判の良い広告主からの広告クリエイティブを使用して、無害に見えます。しかし、広告主はこれが起こっていることを全く知りません。」
あなたの組織が以前にサイバー攻撃の被害を大きく受けた場合、または単に特に注意深くありたい場合は、彼のアドバイスは簡単です:「ネットワーク上のすべてのコンピュータからすべての広告をブロックしてください。」
最新のDark Reading Confidentialポッドキャスト「セキュリティボスはAIに全力を注いでいます:その理由」を見逃さないでください。RedditのCISO Frederick LeeとOmdia分析官Dave Gruberが、SOCにおけるAIと機械学習、成功したデプロイメントの状況(またはそうではない状況)、およびAIセキュリティ製品の将来について議論しています。今すぐ聞く!
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/harmless-global-adware-av-killer
