RansomHubが高度なマルウェア拡散キャンペーンを展開中 技術的な詳細を解説：Cybersecurity Dive

2024年に現れたランサムウェアグループ「RansomHub」がマルウェア・アズ・ア・サービスを使った高度なマルウェア拡散キャンペーンを実行していることが明らかになった。その技術的な詳細を解説しよう。

[Rob Wright，Cybersecurity Dive]

　ランサムウェアグループ「RansomHub」は、ランサムウェアを展開する新たな方法を発見したようだ。その活動によって米国の政府機関が狙われている。

　Trend Microによると、RansomHubが長期間にわたりマルウェア・アズ・ア・サービスとして運用されている「SocGholish」を利用して攻撃を実行しているという。RansomHubは2024年の初めに現れて以来、200以上の被害者を出しており（注1）、健康サービスを提供するChange Healthcareや、大手ドラッグストアチェーンのRite Aidに対する攻撃を自らの手によるものだと主張している。

いま最も勢いがあるランサムウェアグループRansomHub　その高度な攻撃手口

　Trend Microの研究者たちは、2025年3月14日（現地時間、以下同）のブログ投稿で（注2）、SocGholishが多数のWebサイトを経由してランサムウェアRansomHubを配信する仕組みを説明した。この攻撃には複数の段階があり、数千のWebサイトが侵害されている。研究者たちは「2025年の初めの時点で、SocGholishは米国で最も多く検出されており、最も影響を受けたのは政府機関だった」と記載し、銀行やコンサルティング企業も標的にされていると付け加えた。

　2018年に初めて現れて以来、SocGholishの特徴的な手口は一貫している。それは偽のWebブラウザや偽のソフトウェアアップデートを使ってユーザーを欺き、悪質なコンテンツをダウンロードさせるというものだ。研究者たちは「SocGholishは、高度に難読化されたJavaScriptのローダーを使用する特徴があり、従来の署名に基づく検出方法を効果的に回避するさまざまな技術を使用している」と述べた。

　SocGholishの運営者はユーザーを感染させるために、Webトラフィックをハイジャックする悪質なスクリプトによって、侵害された正規のWebサイトのネットワークを使用する。ユーザーがこれらのWebサイトにアクセスすると、SocGholishはエストニアに拠点を置く商用のトラフィック分配システム（TDS）「Keitaro」を使用してリダイレクトを実行する（注3）。このシステムは、SocGholishや他の悪質な活動と長きにわたって関連付けられている。

　攻撃者はKeitaroの悪質なインスタンスを使用して、SocGholishのマルウェアを含む偽のブラウザアップデートをユーザーに送信し、「サンドボックスや研究者による不要なトラフィック」をフィルタリングする。ユーザーが偽のアップデートをクリックすると、攻撃者は難読化されたJavaScriptのローダーをインストールし、追加の悪質なコードを展開し始める。

　SocGholishを使う攻撃者はPythonをベースとしたバックドアコンポーネントを展開し、RansomHubの関連組織への初期アクセスを提供する。このバックドアはC2サーバへの固定コードの接続を確立し、攻撃者が被害者のネットワークから機密データを外部に持ち出すために使用される。

　Trend Microの研究者たちは「SocGholishが『ドメインシャドーイング』と呼ばれる技術を使い、C2サーバの目的で侵害されたWebサイトのネットワークも攻撃に利用している」と述べた。Webサイトを侵害した後、攻撃者は新しいサブドメインを作成して悪質な活動を実行するが、これらは正規のWebサイトに関連付けられているため、セキュリティ製品によってブロックされない。

　Trend Microのスティーブン・ヒルト氏（シニア脅威研究者）は「Cybersecurity Dive」に対して次のように語った。

　「SocGholishが特に効果的である理由は、侵害されたWebサイトを利用して、偽のアップデートに対するユーザーの信頼を築いているためだ。攻撃者は新しいドメインを立ち上げておらず、他のWebサイトを利用して悪質なコードを展開している。以前に訪れた経験があり、レビューが掲載されており、認知度の高い企業がひも付けられたWebサイトを乗っ取れれば、多くのユーザーの警戒心を解ける」

　また、ヒルト氏は「このキャンペーンは『WordPress』で制作されたWebサイトを狙っており、現時点で2500のドメインが侵害されている。これは以前にSocGholishに関連して見られたものよりも大規模なキャンペーンだ」と述べた。

　SocGholishが2025年に促進している脅威は、RansomHubの攻撃だけではない。2025年2月、サイバーセキュリティ事業を営むProofpointの研究者たちは、「Windows」「Android」「macOS」を対象とする情報窃取型のマルウェアを展開する新しいキャンペーンが進行中であると伝えた（注4）。これらの攻撃においても、KeitaroのTDSを通じて、ハイジャックされたトラフィックの移動が実行されている。

　研究者たちは、次のように述べた。

　「SocGholishにつながる侵害されたWebサイトの膨大な数と、サンドボックスやクローラーを回避するための商用のTDSの使用、アンチサンドボックスルーティンの使用は、サンドボックスのような一部の自動検出ソリューションに課題をもたらすだろう。これにより、SocGholishがさまざまな環境で動作し、非常に大きな影響を与える攻撃が実行される可能性がある」

SocGholishへの対処は高い緊急性がある

　Trend Microは、SocGholishへの感染を「緊急に対処すべき重大な出来事」と呼び、セキュリティチームによる迅速な対応を求めている。同社は、SocGholishの活動を特定し対処するために、XDRといったマルウェアの展開や不正アクセスを検知し対処するソリューションの導入を組織に促しており、また、PowerShellのような正規のツールの実行を制限する対応も推奨している。

　研究チームは、SocGholishの攻撃者が脆弱なコンテンツ管理システムやCMSのプラグインを頻繁に標的にして合法的なWebサイトを侵害していると警告した。例えば、以前のSocGholishのキャンペーンでは、侵害されたWordPressのサイトを使用してトラフィックをハイジャックし、マルウェアを配信していた。

（注1）Prolific RansomHub engaged in attack spree, feds warn（Cybersecurity Dive）
（注2）SocGholish’s Intrusion Techniques Facilitate Distribution of RansomHub Ransomware（Trend Micro）
（注3）Why the Keitaro TDS keeps causing security headaches（TechTarget）
（注4）An Update on Fake Updates: Two New Actors, and New Mac Malware（Proofpoint）

原文へのリンク