Trend Microはこのほど、「Malvertising Used as Entry Vector for BlackCat Actors Also Leverage SpyBoy Terminator」において、脅威者が正規の組織を装った偽のWebサイトを通じてマルウェアを配布していると報じた。不正なインストーラを配布するためにマルバタイジング手法を使用していることが明らかとなった。

  • Malvertising Used as Entry Vector for BlackCat Actors Also Leverage SpyBoy Terminator

    Malvertising Used as Entry Vector for BlackCat Actors Also Leverage SpyBoy Terminator

Windowsの人気のファイル転送アプリであるWinSCPの公式Webサイトを模倣した偽のWebサイトが発見されている。Bing検索エンジンで「WinSCP Download」を検索すると、検索結果上にWinSCPアプリの悪質な広告が表示されることがわかった。

  • A suspicious site from a malvertisement|Trend Micro

    A suspicious site from a malvertisement|Trend Micro

広告をクリックするとWinSCPの使用方法に関するチュートリアルを含む不審なWebサイトに誘導され、その後、WinSCPのクローンダウンロードページにリダイレクトされてしまうという。偽のWinSCPインストーラをダウンロードして実行すると、Cobalt Strikeを含む複数のマルウェアがシステムにロードされてしまうことが確認されている。

  • Infection chain of the observed attack|Trend Micro

    Infection chain of the observed attack|Trend Micro

このキャンペーンはBlackCat(別名ALPHV)ランサムウェアに関連する攻撃者による活動とみられており、さらにエンドポイント検出応答(EDR: Endpoint Detection and Response)や拡張検出と応答(XDR: eXtended Detection and Response)といったセキュリティ対策を無効化するSpyBoyと呼ばれるツールを使用していることが特定されている。

近年、組織が予期できないさまざまなサイバー攻撃が発生している。そのため、組織は継続的な努力に加え、早期発見と対応を重視することが求められている。対応が遅れると深刻な損害を招く可能性があるため、素早い修復も重要とされている。組織は攻撃シナリオを理解し、侵害や損害を引き起こす脆弱性を特定し、それに対する対策を講じることが望まれている。