ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
Icon Rounded Closed - BRIX Templates

神聖な SEO ポイズニングの例:ソーラーマーカーマルウェア

Menlo Labs
|
October 26, 2021
linkedin logotwitter/x logofacebook logoSocial share icon via eMail
__wf_リザーブド_デコラティブ

Menlo Labsチームでは、従来のセキュリティ対策を迂回して、組織ではなくユーザーを標的にした攻撃が増加していることを確認しています。その一例が、私たちが追跡しているメンロ研究所です。SolarMarkerという活発なキャンペーンがあります。SEO ポイズニングを利用して悪意のあるペイロードを顧客に提供する攻撃者が増加していますが、成功率も高くなっています。このような回避性の高い攻撃は以前にも見られましたが、この新しい波の速度、量、複雑さはここ数か月で増加しています。

ホーリーSEOポイズニング

エグゼクティブサマリー

メンローラボ 現在、SolarMarkerというアクティブなキャンペーンを追跡しています。SEO ポイズニングを利用して悪意のあるペイロードを顧客に提供する攻撃者が増加していますが、成功率も高くなっています。過去数か月の間に、世界中の顧客ベースで少なくとも 2 つのキャンペーン例が確認されました。

  • ブートローダーキャンペーン: このキャンペーンにより、REvilランサムウェアがドロップされたことが確認されました。
  • ソーラーマーカーキャンペーン: このキャンペーンでは、SolarMarkerのバックドアが削除されました。

マルウェアと侵害後のCnCトラフィックに関する詳細を提供するブログがいくつか公開されています。このブログでは、攻撃が展開していく中で、その配信メカニズムと攻撃の範囲についての洞察を提供しています。

SolarMarkerに加えて、Menlo Labsチームでは、従来のセキュリティ対策を迂回して、組織ではなくユーザーを標的にした攻撃が増加していることを確認しています。このような回避性の高い攻撃は以前にも見られましたが、この新しい波の速度、量、複雑さはここ数か月で増加しています。ビジネス用デバイスと個人用デバイスの使用の境界線が曖昧になっている新しい世界秩序を悪用する攻撃者が増えています。これらの攻撃では、脅威アクターはウェブブラウザやブラウザ機能の進歩を利用してランサムウェアを配信し、認証情報を盗み、マルウェアをターゲットに直接ドロップします。これらの攻撃については、今後のブログで詳しく紹介する予定です。

感染ベクター

SolarMarkerマルウェアキャンペーンはSEOポイズニングを採用しています。攻撃者は通常、この手法を使用して悪意のあるページのランキングを人為的に上げています。そのためには、ユーザーが検索するキーワードを悪意のある Web サイトに挿入します。当社の顧客ベース全体で、悪質なページにつながるさまざまな検索語句を見てきました。私たちは観察してきました。 2,000以上のユニークな検索用語 それが悪質なマルウェア Web サイトにつながりました。次のような検索語句が確認されています。

  • ブルージャケット・オブ・ザ・クォーターの記事例
  • 産業衛生ウォークスルー調査チェックリスト
  • 5段階のPD評価
  • スポーツメンタルタフネスアンケート

SEOポイズニング攻撃は次のように機能します。

  • ユーザーは好みの検索エンジンを使用して何かを検索します。
  • 悪意のある PDF をホストしている侵害された Web サイトが検索結果に表示されます。
  • ユーザーが SEO ポイズンドリンクをクリックします。
  • ユーザーは、図 1 のような悪意のある PDF にアクセスします。
  • いずれかのダウンロードボタンをクリックすると、複数のHTTPリダイレクトが行われ、その後、悪意のあるペイロードがエンドポイントにダウンロードされます。
  • このキャンペーンでは、3 種類のペイロードサイズのペイロードがダウンロードされていることを確認しました。私たちが見た最小のペイロードは約 70 MB で、最大のペイロードは約 123 MB でした。悪意のあるペイロードのサイズが大きいと、サンドボックスやその他のコンテンツ検査エンジンで定義されているファイルサイズの制限を超えています。
Examples of malicious document download links
フィギュア 1

をホストしているすべての侵害サイト 悪意のある PDF ワードプレスサイトであることが確認されました。以下のグラフは、当社の顧客ベース全体で悪意のある PDF を提供していたさまざまなカテゴリのウェブサイトを示しています。分類からわかるように、ほとんどのサイトは、悪意のあるコンテンツをホストするために侵害された無害なサイトでした。分析の結果、悪意のある PDF を提供している有名な教育用ウェブサイトや.gov ウェブサイトがいくつか見つかりました。安全なインターネットを確保するための取り組みの一環として、影響を受けたすべての関係者に通知したところ、これらの悪意のある PDF は削除されました。

Chart showing URL reputation categories for malicious PDFs, with the huge majority being Business (> 1000) and the second being Non-Profits and NGOs (400)

悪意のある PDF は、次のような特定のディレクトリから提供されていました。 /WP-コンテンツ/アップロード/フォーミダブル/。 このディレクトリは、Formidable Forms という名前の WordPress プラグインがウェブサイトにインストールされたときに作成されます。Formidable Forms は、管理者が簡単にフォームを作成できるようにするプラグインです。この記事の執筆時点では、 侵害された URL の 100 パーセント 私たちのデータセットでは、この特定のディレクトリの場所に悪意のある PDF をホストしていました。

次の表は、分析した侵害されたWebサイトにインストールされているFormidable Formsプラグインのバージョンを表しています。

Chart showing distribution of Formidable Forms version number

バージョン5.0.07は、この調査時点でのFormidable Formsプラグインの最新バージョンであり、侵害されたWebサイトで最も使用されていたバージョンでした。確認した最小バージョンは 2.02.05 でした。

見てみると 変更履歴 Formidable Formsでは、プラグインが更新され、セキュリティの問題が修正されたようです。これがSolarMarkerキャンペーンの初期段階の原因となったセキュリティ上の問題なのか、Formidable Formsが問題の脆弱なプラグインだったのかはわかりませんが、分析したすべての侵害されたWebサイトに共通してインストールされているプラグインでした。LinkedIn経由でFormidable Formsに連絡して協力を求めましたが、残念ながら返答がありませんでした。

SolarMarkerキャンペーンはかなり普及しており、顧客ベースのあらゆる地域や業種に影響を及ぼしていることがわかりました。以下の業種が PDF ファイルをホストしている悪質なリンクをクリックしているのが確認されました。

Pie chart showing industry verticals affected by solarmarker, with the majority being Finance & Investment (42%), Service Provider (9%), Crypto Exchange (8%), and Transportation (8%)

次のグラフは、悪意のある PDF が配信されたさまざまな場所を示しています。米国がリストのトップでしたが、このキャンペーンではイランとトルコのサイトも使用されていることがわかりました。

Chart showing Geo Locations where the malicious PDFS were served from, with the huge majority being in the United States

コマンド&コントロール

SolarMarkerバックドア自体は広く文書化されています。クラウドストライクには 分析 バックドアの。CrowdStrikeのブログ記事に掲載されているCnC IPに加えて、Menlo Labsの研究者は他に6つのCnC IPを特定することができました。特定された CnC IP は Menlo Isolation Core™ プラットフォームにプッシュされたため、お客様は保護されています。

  1. 投稿 http://45.42.201.248/
  2. 投稿 http://37.120.237.251/
  3. 投稿 http://5.254.118.226/
  4. 投稿 http://23.29.115.175/
  5. 投稿 http://216.230.232.134/
  6. 投稿 http://146.70.24.173/

結論

世界がリモートワークに移行するにつれて、ブラウザは仕事が行われる場所になりました。実際、Google の調査によると、エンドユーザーは仕事の平均 75% をブラウザで過ごしています。A 最近の調査 Menlo Securityによると、回答者の4分の3が、管理対象外のデバイス上のアプリケーションにアクセスするハイブリッドワーカーやリモートワーカーは、組織のセキュリティに重大な脅威をもたらすと考えています。また、回答者の過半数(79%)が第三者や請負業者によるリモートアクセスのためのセキュリティ戦略を策定している一方で、リモートワーカーがもたらすリスクに対する懸念が高まっており、回答者の半数以上(53%)が、今後12~18か月の間に、第三者/請負業者のシステムやリソースへのアクセスを削減または制限することを計画しています。

SolarMarkerは、攻撃者が脆弱なサイトを利用して悪意のあるキャンペーンを開始するサプライチェーンスタイルの攻撃の典型的な例ですが、攻撃者がブラウザの使用量の増加を悪用する方法をすばやく見つけたり、企業がクラウドベースのアプリケーションに軸足を移したりする例でもあります。この種の攻撃を特に危険なものにしているのは、その攻撃を仕掛けるのに使われている手法です。このブログで前述したように、これらの攻撃は、従来の検出方法を回避してユーザーを直接標的にするように特別に設計されています。

推奨事項

  • Menloは、不要なカテゴリからのWindows実行ファイルのダウンロードをブロックすることを推奨しています。
  • リダイレクト先のウェブサイトのほとんどは、.site または .tk TLDS でホストされています。ポリシーが許せば、Menlo はどちらかの TLD で終わるサイトをすべてブロックすることを推奨しています。
ブログカテゴリー