偽のGoogle広告に要注意 ロシアの脅威グループが仕掛けるマルウェア配布手口：セキュリティニュースアラート

eSentireは、ロシアの脅威グループが署名されたMSIXファイルを悪用してNetSupport RATやDiceLoaderといったマルウェアを配布していることを報告した。有名なITサービスやブランドになりすまし攻撃を実行するという。

[後藤大地，有限会社オングス]

　セキュリティ企業のeSentireは2024年5月8日（現地時間）、脅威グループ「FIN7」が、署名されたMSIXファイルを悪用し、「NetSupport RAT」や「DiceLoader」といったマルウェアを配布していると報告した。

スポンサー付きGoogle広告を悪用　FIN7の巧妙なマルウェア配布手口

　FIN7はロシアを拠点とする金銭的な動機を持つ脅威グループで、「Google Meet」などをはじめとした有名なITサービスに偽装し、Google広告や悪意あるWebサイトを利用してユーザーをだます手口を採用している。

　eSentireによると、FIN7がNetSupport RATやDiceLoaderを実行するまでの手口は以下の通りだ。

1. スポンサー付きGoogle広告を介してユーザーを悪意あるWebサイトに誘導する
2. Webサイトを訪れたユーザーに偽のWebブラウザ拡張機能をダウンロードするように促す偽のポップアップを表示する。偽のWebブラウザ拡張機能のペイロードは、「Windows」アプリケーションのパッケージ形式であるMSIXファイルになっている。このMSIXファイルは署名されておりセキュリティソフトウェアによる検出を回避している
3. MSIXファイルには悪意ある「PowerShell」スクリプトが含まれている。このPowerShellスクリプトはOSバージョンやドメインなどのシステム情報の収集、インストールされているウイルス対策ソフトウェアの名称の収集、GUIDの生成を実行し、これらの情報を組み込んだURLを作成してC2サーバからスクリプトをダウンロードしてBase64デコードを実施する。サーバの応答に「usradm」が含まれている場合、スクリプトはさらにコマンドを実行してC2サーバからペイロードを取得する。このスクリプトは実行中に例外を管理し、URLパラメーターを介してC2サーバにエラーを報告する。次にZIPファイルの内容を抽出してファイルを「C:\ProgramData\netsupport\」に格納し、最終的に抽出したNetSupport RAT実行可能ファイルを実行する

　eSentireは被害者にならないために以下のアドバイスを挙げている。

• スポンサー付きのGoogle広告をクリックする際には、正しく見える広告リンクでも有害なコンテンツにリダイレクトされる可能性があることを理解する
• 評判の良いITサービスやブランドになりすました悪意のあるWebサイトはソーシャルエンジニアリングの有効性を示しており、広告を閲覧したり、リダイレクトしたりするときにはポップアッププロンプトからファイルをダウンロードすることに注意する必要がある
• 署名されたMSIXファイルの使用は一見正当なファイルであっても警戒する必要がある。ファイルのソースを確認し、予期しないダウンロードプロンプトに懐疑的になる必要がある
• MSIXファイルが会社名で署名されているにもかかわらず悪意のあるコンテンツが含まれているという事実があるため、デジタル証明書を確認しても安全性が保証されるわけではないことを認識しておく必要がある
• 全てのデバイスがEDR（Endpoint Detection and Response）製品で保護されていることを確認する
• フィッシングとセキュリティに関する意識向上トレーニングを実施する
• 「AppLocker」を介してMSIXの実行を制御する
• 証明書の不正使用を報告する