新しいSEOポイズニングキャンペーンが、人気のあるデータ復旧ツールTestDiskを検索しているユーザーを騙して、悪意のあるインストーラをダウンロードさせ、リモート監視・管理(RMM)ソフトウェアをシステムにインストールされることにつながっています。
公開されているレポートによると、攻撃は実際のTestDiskプロジェクトになりすました偽のウェブサイトから始まります。検索エンジン操作を使用して、ページを潜在的な被害者の検索結果の上位に押し上げます。
感染チェーンは、被害者が偽のサイトから通常のTestDiskセットアップパッケージに見えるものをダウンロードするときに始まります。
舞台裏では、インストーラは正規のマイクロソフトバイナリを含むサイドローディングルーチンを起動します。DLLサイドローディングは、信頼できる実行ファイルがその横に配置された悪意のあるライブラリを読み込むように仕向ける、長年使用されている防御回避方法です。
バイナリは署名されており正規のものであるため、セキュリティツールとユーザーはすぐに活動を疑わしいものとしてフラグを立てる可能性が低くなります。マイクロソフトバイナリを悪用することで、攻撃者は実行中に合法性の層を獲得します。
これはマルウェアチェーンを見つけにくくし、通常のシステムアクティビティに溶け込ませるのに役立ちます。キャンペーンの最終的な目的は、マルウェア配信だけでなく、実際のリモートアクセスです。
報告されたペイロードには、広く使用されているリモートアクセスおよびサポートツールであるScreenConnectが含まれています。エンタープライズ環境では、ScreenConnectはトラブルシューティングとリモート管理のためにITチームによって使用される正規の製品です。
しかし攻撃者の手に渡ると、永続的なアクセス、リモートコントロール、ファイル転送、および後続のアクションのための足がかりを提供できます。インストールされると、ツールは脅威アクターに感染したデバイスとやり取りする簡単な方法を効果的に与えることができます。あたかもリモートサポートを提供しているかのように。
攻撃でのRMMソフトウェアの使用はますます一般的になっています。これは攻撃者がセキュリティ検出をトリガーする可能性のあるカスタムマルウェアのドロップを回避するのに役立つためです。代わりに、彼らはビジネス環境ですでに知られている正規の管理ツールに依存しています。
このキャンペーンは、検索操作、ソフトウェアなりすまし、および正規ツール悪用の間の増加する重複を強調しています。
フィッシングメールに依存するのではなく、攻撃者はユーザーが積極的にソリューションを検索しているときにターゲットにしています。被害者はすでにソフトウェアをダウンロードすることを期待しているため、これはルアーを特に効果的にします。
セキュリティチームは、特に公式リポジトリではなくウェブ検索を通じてソースされたフリーツールのソフトウェアダウンロード動作を監視する必要があります。
ユーザーは、ドメインを確認し、スポンサー付きまたは不慣れなダウンロードページを避け、公式ベンダーまたはプロジェクトウェブサイトからのみツールを取得するようにトレーニングされるべきです。
翻訳元: https://cyberpress.org/seo-attack-deploys-rmm/