Malwarebytesは1月31日(米国時間)、「Nitrogen shelling malware from hacked sites|Malwarebytes」において、最近の「Nitrogen」と呼ばれるマルバタイジングキャンペーンの調査結果を伝えた。Nitrogenは2023年6月ごろに存在が確認されたキャンペーンで、正規のソフトウェアになりすまし、企業ネットワークを侵害するマルウェアを配布するとされる(参考:「Into the tank with Nitrogen – Sophos News」)。

  • Nitrogen shelling malware from hacked sites|Malwarebytes

    Nitrogen shelling malware from hacked sites|Malwarebytes

「Nitrogen」の最近の動向

NitrogenはGoogle検索などの悪意のある広告にだまされたユーザーを標的とする。偽の広告のリンク先は脅威アクターが管理するリダイレクト用のWebサイトで、一般的には偽の広告に関連したドメイン名などが使用される。しかしながら、MalwarebytesによるとNitrogenの脅威アクターは期限の切れた既存のドメイン名を再登録して悪用することを好むという。これは、同様の攻撃手段において新しく登録されたドメインが使用される傾向にあり、これを検出するセキュリティチェックを回避する目的があるものとされる。

  • Nitrogenキャンペーンで使用された偽の広告の例 - 提供:Malwarebytes

    Nitrogenキャンペーンで使用された偽の広告の例 引用:Malwarebytes

偽の広告をクリックし、リダイレクト時のクライアントの検証をパスすると、正規のソフトウェアの配布サイトに似せた偽のWebサイトが表示される。このWebサイトからマルウェアを含むソフトウェアをダウンロードすることになるが、このキャンペーンでは侵害されたWordPressサイトをダウンロードファイルのホストとして悪用する場合が多いという。

配布されるマルウェア

Malwarebytesによると、Nitrogenはダイナミックリンクライブラリ(DLL: Dynamic Link Library)のサイドローディング技術を使って悪意のある処理を実行するという。ダイナミックリンクライブラリはPythonの実行環境を構築し、悪意のあるPythonスクリプトを実行する。そして脅威アクターが管理するコマンド&コントロール(C2: Command and Control)サーバと通信を確立し、サンドボックスやセキュリティ研究者などを攻撃対象から排除する。残った被害者に対し、追加の情報収集、ネットワークの侵害、最終的なマルウェアを展開、実行する。

対策

2022年以降、さまざまな脅威アクターがオンライン広告をマルウェア配布の手段として悪用している。Malwarebytesによると2023年の夏以降は、FakeBat、PikaBot、Carbanak、Nitrogen、NetSupport RAT、Atomic Stealerを配布する脅威アクターを中心に悪用が増加しているという。

  • マルバタイジング事案の推移 - 提供:Malwarebytes

    マルバタイジング事案の推移 引用:Malwarebytes

Malwarebytesは多くの企業がマルバタイジング攻撃から適切に保護されていないと指摘している。企業では主にスパムメールやフィッシングメールに重点が置かれたエンドポイントの対策が進められており、脅威アクターもこれをよく認識しているため、オンライン広告の悪用が増加しているという。

このような攻撃を回避するために、ソフトウェアをダウンロードする際には正規のWebサイトにアクセスしているかを必ず確認することが推奨されている。また、検索サイトの広告からダウンロード先を見つけるのではなく、広告を除いた検索結果またはWebブラウザのお気に入りから正規のWebサイトにアクセスしてダウンロードすることが望まれている。