最近、Malwarebytes LABSの脅威レポートで マルバタイジング (Malvertising)攻撃を使用したSlackの悪質な広告事例の分析が公開されました。今回の記事では、レポートで紹介されたSlackのマルバタイジング攻撃事例と、発見された侵害指標および脅威ハンティングツールを使って分析を行っていきます。
マルバタイジング とは?
マルバタイジングは、悪質(Malicious)またはマルウェア(Malware)と広告(Advertising)を組み合わせた複合語で、広告キャンペーンを悪用してユーザーをマルウェアにさらしたり、悪質なウェブサイトに誘導する攻撃手法を指します。
一般的に、マルバタイジング技術を使用する攻撃者は、スラック(Slack)のような人気のあるソフトウェアやウェブサイトをターゲットにし、より多くの被害者を攻撃するために検出を回避しようとします。今回、Malwarebytesが公開した脅威レポートのSlackマルバタイジング事例は、Googleの検索広告を通じたマルバタイジングでした。
Slackを狙った マルバタイジング 攻撃の事例
分析レポートによると、数日間、Slackに関連する疑わしい広告がGoogle検索結果の上位に継続的に発見されたそうです。
この広告素材は、一見すると非常に合法的に見え、広告をクリックしてもSlackの公式サイトにリダイレクトされるだけで、悪質な行為の兆候は見られませんでした。しかし、Googleの広告キャンペーンで確認できる広告主と広告がユーザーに表示された理由についての追加情報を見ると、その広告主はアジア(香港)地域をターゲットにしていることが分かり、過去に執行した広告キャンペーンを見ると、Slackと何の関係もない一般的な広告素材しかないことから、キャンペーンの広告主のアカウントが攻撃者によってハッキングされたと思われます。
巧妙にユーザーを騙すリダイレクト技術
初期には、広告はSlackの公式サイトの料金ページにリダイレクトされ、この時、攻撃者は意図的に悪質な行為をせず、広告を消費するユーザーから疑念を取り除く戦略を使ったと思われます。その後、広告の内容が変わり、クリックトラッカーが適用されたリンクにリダイレクトされるようになりました。広告リンクにクリックトラッカーを適用できることは、Google広告の既知の脆弱性の一つであり、攻撃者はこれを悪用してユーザーのトラフィックを目的のドメインに送ることができます。最終的に、Slackの悪質な広告の最終到達URLは hxxp://slack-windows-download[.]com に変更され、これは広告キャンペーンが発見された日からわずか1週間前に作成されたドメインでした。
この最終URLに到達したユーザーは、ダウンロードボタンをクリックすると、悪意のあるファイルをダウンロードすることになります。
スラックの マルバタイジング 攻撃で発見された侵害指標の分析
分析されたSlackのマルバタイジング攻撃事例で発見された侵害指標(IoC)は以下の通りです。
- リダイレクトリンク:slacklink.sng[.]link
- クロッキングドメイン:haiersi[.]com
- 偽装サイト:slack-windows-download[.]com, slack-download-for-windows[.]com
- 悪質なファイルのダウンロードドメイン:zoom2024[.]online
- 悪質なファイルのハッシュ(SHA256):59e5e07ffa53ad721bc6b4c2ef435e08ae5b1286cda51415303978da474032d2
攻撃に使用されたIPアドレスとドメイン
レポートに記載されているIPアドレスとドメインの役割は以下の通りです。
- IPアドレス:45.141.87[.]218
- このIPアドレスは、SecTopRATというリモートアクセス型トロイの木馬が使用したサーバーで、リモートアクセス及びデータ窃取の機能を備えていると知られています。
各ドメインの役割と重要性は以下の通りです。
- slacklink.sng[.]link:ユーザーがクリックした際に最初のリダイレクトを担当し、その後、他のリダイレクト層に接続されます。
- haiersi[.]com:クローキングされたドメインで、特定の条件でのみ悪意のあるページをユーザーに表示します。
- slack-windows-download[.]com과 slack-download-for-windows[.]com:誘引用サイトで、正常なコンテンツを見せながら、攻撃者の悪意のあるページに変換する可能性を隠します。
- zoom2024[.]online:最終的にマルウェアをダウンロードする役割を果たします。
使用されるTTPsおよびMITRE ATT&CKの技術IDと段階
スラックのマルバタイジング攻撃で使用された技術、戦術、手順(TTPs)は以下の通りです。
- 攻撃初期の正常なドメインの活用:T1071.001(https://attack.mitre.org/techniques/T1071/001/)(アプリケーション層のプロトコル:ウェブトラフィック)
- クロッキングによる検出回避:T1078.003(https://attack.mitre.org/techniques/T1078/003/)(有効なアカウント:クラウドアカウント)
- 多段階リダイレクト:T1204.001(https://attack.mitre.org/techniques/T1204/001/)(ユーザー実行:接続されたサイト)
- 悪意のあるファイルの配布:T1105(https://attack.mitre.org/techniques/T1105/)(リモートファイルコピー)
Criminal IPで分析したIPアドレスの詳細情報(45.141.87[.]218)
IPアドレス「45.141.87[.]218」について、脅威ハンティングツールのCriminal IPで詳細に分析した結果、いくつかのデータが確認されました。
- 当IPアドレスでは、OpenSSH 9.2、Microsoft-HTTPAPI 2.0などのサービスが動作しており、それぞれ22番、5985番ポートに開いています。
- 3389番ポートには未確認のサービスが稼働中であり、TLS証明書の詳細が確認されます。
- この証明書は、WIN-T5DU7SLKL3Dという一般名で発行され、有効期間は2024年5月20日から2024年11月19日までです。
- この証明書は、自己署名(self-signed)されたもので、公開鍵の暗号化アルゴリズムはRSA、指紋SHA256ハッシュは56d64fae4cb554ca997f418632507f92c94266b78c0a204c934b2f5ab92670ddで確認されます。
マルバタイジング攻撃者の主な目標は、ほとんどの場合、マルウェアの配布であり、これによりリモートアクセスやデータ窃取を行うことです。レポートによると、Slackを狙ったマルバタイザーは、Googleの広告プラットフォームを活用して不特定多数のユーザーにマルウェアを拡散しています。これに対する対応策としては、悪意のあるドメインやIPアドレスを迅速に把握して遮断し、広告システムの脆弱性を補完することだと強調しました。
このような攻撃事例は、マルバタイジングの危険性を改めて浮き彫りにし、企業とセキュリティ専門家は、継続的な監視と分析で新たな脅威に対し、迅速に対応する必要があります。また、ユーザーも広告をクリックする時に注意が必要であり、疑わしいリンクへの接続を控える必要があります。
関連してパリオリンピックのチケット「フィッシング」が猛威、AI URLスキャナーでフィッシングを検知・予防する方法をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
