セキュリティ企業のeSentireはこのほど、「eSentire|FIN7 Uses Trusted Brands and Sponsored Google Ads to…」において、ロシアに拠点を置くとみられる脅威グループ「FIN7」がGoogle広告を悪用してマルウェアを配布しているとして、注意を呼び掛けた。この攻撃では、偽のブラウザ拡張機能を介して遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)が配布されるという。

eSentire|FIN7 Uses Trusted Brands and Sponsored Google Ads to…

○感染経路

2024年4月、eSentireはGoogle広告を介して偽のブラウザ拡張機能をダウンロードさせる悪意のあるWebサイトを複数発見。これらWebサイトはAnyDesk、WinSCP、BlackRock、Asana、Concur、The Wall Street Journal、Workable、Google Meetなどの有名ブランドを偽装しているという。

これらWebサイトにアクセスすると、「サイトの閲覧にはブラウザ拡張機能が必要」と書かれたポップアップが表示され、Windowsアプリパッケージ形式のMSIXファイルのインストールを求められる。

悪意のあるMSIXファイルを配布するWebサイトの例 引用:eSentire

ダウンロードしたMSIXファイルには悪意のあるPowerShellスクリプトが含まれており、システムおよびセキュリティソリューションの情報を収集してコマンド&コントロール(C2: Command and Control)サーバに送信する機能を持つ。C2サーバが「usradm」を含む応答を返した場合、スクリプトはマルウェア「NetSupport RAT」をダウンロードして実行する。

○マルウェア「NetSupport RAT」の概要

NetSupport RATは正規の遠隔操作ツール「NetSupport Manager」を悪用した場合の別名。それ自体は正常なアプリケーションであり、攻撃者が利用できるように設定された状態で配布される。そのため、セキュリティソリューションによる検出は困難とされる。

○対策

eSentireはこのような攻撃を回避するため、次のような対策を推奨している。

Google広告をクリックする際は、正常に見える広告でも悪意のあるWebサイトにリダイレクトされる可能性があることを理解する

広告のリダイレクト先のWebサイトから配布されているファイルには注意する

Webサイトに予期しないダウンロードが表示されたら疑ってかかる

MSIXファイルの署名は安全性を保証するものではないと認識する

企業はエンドポイント検出応答(EDR: Endpoint Detection and Response)を導入する

eSentireは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「iocs/FIN7/FIN7_IOCs_5-3-2024.txt at main · esThreatIntelligence/iocs · GitHub」にて公開しており、必要に応じて活用することが望まれている。