セキュリティ企業のeSentireはこのほど、「eSentire|FIN7 Uses Trusted Brands and Sponsored Google Ads to…」において、ロシアに拠点を置くとみられる脅威グループ「FIN7」がGoogle広告を悪用してマルウェアを配布しているとして、注意を呼び掛けた。この攻撃では、偽のブラウザ拡張機能を介して遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)が配布されるという。
感染経路
2024年4月、eSentireはGoogle広告を介して偽のブラウザ拡張機能をダウンロードさせる悪意のあるWebサイトを複数発見。これらWebサイトはAnyDesk、WinSCP、BlackRock、Asana、Concur、The Wall Street Journal、Workable、Google Meetなどの有名ブランドを偽装しているという。
これらWebサイトにアクセスすると、「サイトの閲覧にはブラウザ拡張機能が必要」と書かれたポップアップが表示され、Windowsアプリパッケージ形式のMSIXファイルのインストールを求められる。
ダウンロードしたMSIXファイルには悪意のあるPowerShellスクリプトが含まれており、システムおよびセキュリティソリューションの情報を収集してコマンド&コントロール(C2: Command and Control)サーバに送信する機能を持つ。C2サーバが「usradm」を含む応答を返した場合、スクリプトはマルウェア「NetSupport RAT」をダウンロードして実行する。
マルウェア「NetSupport RAT」の概要
NetSupport RATは正規の遠隔操作ツール「NetSupport Manager」を悪用した場合の別名。それ自体は正常なアプリケーションであり、攻撃者が利用できるように設定された状態で配布される。そのため、セキュリティソリューションによる検出は困難とされる。
対策
eSentireはこのような攻撃を回避するため、次のような対策を推奨している。
- Google広告をクリックする際は、正常に見える広告でも悪意のあるWebサイトにリダイレクトされる可能性があることを理解する
- 広告のリダイレクト先のWebサイトから配布されているファイルには注意する
- Webサイトに予期しないダウンロードが表示されたら疑ってかかる
- MSIXファイルの署名は安全性を保証するものではないと認識する
- 企業はエンドポイント検出応答(EDR: Endpoint Detection and Response)を導入する
eSentireは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「iocs/FIN7/FIN7_IOCs_5-3-2024.txt at main · esThreatIntelligence/iocs · GitHub」にて公開しており、必要に応じて活用することが望まれている。