セキュリティ企業のeSentireはこのほど、「eSentire|FIN7 Uses Trusted Brands and Sponsored Google Ads to…」において、ロシアに拠点を置くとみられる脅威グループ「FIN7」がGoogle広告を悪用してマルウェアを配布しているとして、注意を呼び掛けた。この攻撃では、偽のブラウザ拡張機能を介して遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)が配布されるという。

eSentire|FIN7 Uses Trusted Brands and Sponsored Google Ads to…○感染経路2024年4月、eSentireはGoogle広告を介して偽のブラウザ拡張機能をダウンロードさせる悪意のあるWebサイトを複数発見。これらWebサイトはAnyDesk、WinSCP、BlackRock、Asana、Concur、The Wall Street Journal、Workable、Google Meetなどの有名ブランドを偽装しているという。これらWebサイトにアクセスすると、「サイトの閲覧にはブラウザ拡張機能が必要」と書かれたポップアップが表示され、Windowsアプリパッケージ形式のMSIXファイルのインストールを求められる。悪意のあるMSIXファイルを配布するWebサイトの例 引用:eSentireダウンロードしたMSIXファイルには悪意のあるPowerShellスクリプトが含まれており、システムおよびセキュリティソリューションの情報を収集してコマンド&コントロール(C2: Command and Control)サーバに送信する機能を持つ。C2サーバが「usradm」を含む応答を返した場合、スクリプトはマルウェア「NetSupport RAT」をダウンロードして実行する。○マルウェア「NetSupport RAT」の概要NetSupport RATは正規の遠隔操作ツール「NetSupport Manager」を悪用した場合の別名。それ自体は正常なアプリケーションであり、攻撃者が利用できるように設定された状態で配布される。そのため、セキュリティソリューションによる検出は困難とされる。○対策eSentireはこのような攻撃を回避するため、次のような対策を推奨している。Google広告をクリックする際は、正常に見える広告でも悪意のあるWebサイトにリダイレクトされる可能性があることを理解する広告のリダイレクト先のWebサイトから配布されているファイルには注意するWebサイトに予期しないダウンロードが表示されたら疑ってかかるMSIXファイルの署名は安全性を保証するものではないと認識する企業はエンドポイント検出応答(EDR: Endpoint Detection and Response)を導入するeSentireは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「iocs/FIN7/FIN7_IOCs_5-3-2024.txt at main · esThreatIntelligence/iocs · GitHub」にて公開しており、必要に応じて活用することが望まれている。