新たな研究によって、トロイの木馬化されたTestDiskインストーラーを配信する検索エンジン中毒キャンペーンが明らかになりました。このキャンペーンはMicrosoft署名済みバイナリをDLLサイドロード攻撃に悪用し、ScreenConnectリモート監視・管理(RMM)クライアントを静かに展開して、キーボードへのハンズオンアクセスを実現しています。
不正なドメインは実在のオープンソースデータ復旧ツールのブランドを模倣し、「最高のオープンソースデータ&パーティション復旧ソリューション」として提示され、TestDisk 7.2/7.3の無料ダウンロードボタンを提供しています。
舞台裏では、サイトで実行される難読化されたJavaScriptが、direct-download.gleeze[.]comなどの配信ドメインを指すワンタイムダウンロードURLを動的に生成し、オペレーターが静的URLベースのブロックを回避するのを支援しています。
脅威ハンターは、「TestDisk」を検索するユーザーが、正当なCGSecurity TestDiskプロジェクトと並んで検索結果にランクインしているtestdisk[.]devでホストされた類似デザインのダウンロードサイトに誘導されていることを観察しました。
正規のインストーラーの代わりに、被害者はZIPアーカイブを受け取ります。testdisk-7.3.exeという名前のファイルを含むもので、これは標準的なTestDiskセットアップのように見えます。
実際には、この実行ファイルは、古典的なDLLサイドロード攻撃でローダーとして転用された、名前を変更された正規のMicrosoft Setupバイナリです。
Microsoftバイナリが悪意のあるDLLをサイドロード
被害者が偽のTestDiskインストーラーを起動すると、署名付きのMicrosoftバイナリは作業ディレクトリ内の関連DLLを探し、攻撃者が仕掛けた悪意のあるautorun.dllをロードします。
ホスト実行ファイルはMicrosoftによって信頼され、署名されているため、多くのディフェンスはその実行を無害なものとして扱い、悪意のあるDLLがより少ないアラートで実行されるようにします。
DLLはその後、メインペイロードチェーンを開始します。これには、TestDiskの正規コピーと追加のマルウェアコンポーネント両方のダウンロードとインストールが含まれ、ユーザーの疑いを減らしながら永続化を確立します。
ペイロードの1つは、トロイの木馬化されたScreenConnectクライアントと一緒にTestDiskをインストールするMSIです。このクライアントは攻撃者が管理するインフラストラクチャに接続するように設定されています。
展開されると、不正なScreenConnectクライアントは自動的に侵害されたシステムを外部のScreenConnectサーバーに登録し、攻撃者にファイル転送、コマンド実行、ネットワーク内のラテラルムーブメントを含む完全なリモートコントロール機能を提供します。
この戦術は、脅威アクターが完全に正規なScreenConnectインストーラーまたは設定を使用してRMMツールをリモートアクセストロイの木馬(RAT)に変える広い傾向を反映しています。コードを変更することはありません。
ScreenConnectはITおよびMSPチームで広く使用されているため、組織が承認されたRMMエンドポイントを厳密にインベントリ化していない場合、その存在は通常の管理活動に簡単に溶け込むことができます。
この足がかりから、オペレーターは追加ツールを配布し、認証情報を収集し、データを流出させ、またはランサムウェアおよび他のペイロードをステージングできます。
対策
ディフェンダーはtestdisk[.]dev、direct-download.gleeze[.]com、および関連するダウンロードインフラストラクチャへのアクセスを監視するよう促されています。また、インジケーターIPアドレス193.42.11.108と既知の悪意のあるSHA-256ハッシュ1b2555b09ac62164638f47c8272beb6b0f97186e37d3a54cb84c723ff7a2eee5を含むトラフィックも監視してください。
セキュリティチームはまた、Microsoftが署名したバイナリによってロードされた署名なしまたは異常にロードされたDLLを探すべきです。特にファイル復旧ユーティリティとセットアッププログラムの周辺では、サイドロード攻撃を示す可能性があります。
RMMの側では、組織は承認されたScreenConnectサーバーとクライアント構成の明示的なホワイトリストを維持し、不明なScreenConnectリレードメインをブロックし、ITによって管理されていないエンドポイント上の新しいScreenConnectインストールイベントについてアラートを発する必要があります。
最後に、ユーザーはTestDiskのCGSecurityドメインなどの公式プロジェクトサイトに直接アクセスするように訓練されるべきです。検索結果のみに頼ることなく、初期アクセスプレイブックの増加する部分を形成するようになったSEO中毒リンクへの露出を減らします。
翻訳元: https://gbhackers.com/seo-poisoning-attack/
