TrellixはChromeのアップデートを装って、リモートアクセスツール「NetSupport Manager」のインストールに誘導するマルウェアキャンペーンを見つけた。
この記事は会員限定です。会員登録すると全てご覧いただけます。
TrellixのAdvanced Research Centerは2023年8月10日(現地時間、以下同)、「Google Chrome」(以下、Chrome)のアップデートを装い、「NetSupport Manager」というリモートアクセスツール(以下、RAT)のインストールに誘導するキャンペーンを検出したと報じた。
Trellixの脅威インテリジェンス機関Advanced Research Centerは、2023年6月の後半に偽のChromeアップデートキャンペーンが展開されていることを発見した。
この攻撃キャンペーンはまず、侵害したWebサイトに専用のJavaScriptを設置するところから始まる。JavaScriptは最終的にユーザーを偽のChromeアップデートのページに誘導し、そこからバッチファイル(.BAT)やVB Script、curlなどを使って「NetSupport Manager」と呼ばれるRATをインストールする。
NetSupport Manager自体は正規のプログラムであり、このインストールが完了すれば、サイバー攻撃者はセキュリティ回避など不要で、被害者のPCの制御権を乗っ取りリモートからコマンドを実行できるようになる。そのためその後、マルウェアの配布や情報の窃取、ラテラルムーブメントなどが実施される恐れがある。
Trellixは「以前から確認されている攻撃手法であっても、それらが有効に機能していることが分かれば、脅威アクターは再びその手法を採用する可能性がある」と指摘している。今回発見されたキャンペーンもこれを裏付けており、これまでさまざまなサイバー攻撃で使われてきた偽のWebブラウザアップデートの詐欺手口が積極的に再利用されている。
脅威アクターはターゲットとなるプラットフォームに最初からインストールされているツールを使用して不要なダウンロードやカスタムコンポーネントの作成を回避し、難読化が容易なテキストベースまたはスクリプトベースのプログラミング言語を使用するなど工夫しているため注意が必要だ。
NetSupport Managerを悪用するキャンペーンは以前ロシアの脅威アクターが実施していた「SocGholish」キャンペーンとの類似性が指摘されている。しかし使用するツールに違いがあるなどSocGholishとの関連性は決定的なものとは言えないという。
Copyright © ITmedia, Inc. All Rights Reserved.