コリン・ティエリー
Microsoft は先週、DEV-0569 として特定された脅威グループが Royal の新しい波の背後にいたことを明らかにしました。 ランサムウェア フィッシング リンク、正当に見える Web サイト、Google 広告を介して展開されるその他のマルウェア。
セキュリティ ソリューションの回避は、攻撃者が課題に直面する場合がある側面の XNUMX つです。 これらのソリューションを回避する方法の XNUMX つは、悪意のあるリンクをクリックしたり、有害なソフトウェアをダウンロードしたりして、ユーザーをだまして侵入させることです。
DEV-0569 は、標的とするユーザーに対してこれらの手法の両方を使用します。 この脅威グループは、フィッシング Web サイトを作成し、標的の組織で連絡フォームを使用し、正規に見えるダウンロード サイトでインストーラーをホストし、Google 広告を展開します。
「DEV-0569 アクティビティは、署名されたバイナリを使用し、暗号化されたマルウェア ペイロードを配信します。」 説明 マイクロソフトは先週の声明で. このグループは、防御回避技術を多用していることでも知られており、最近のキャンペーンでは、オープンソース ツール Nsudo を使用してウイルス対策ソリューションを無効にしようと試みています。
「DEV-0569 は特に、ソフトウェア インストーラーを装ったマルウェア ダウンローダー、またはスパム メール、偽のフォーラム ページ、ブログ コメントに埋め込まれた更新プログラムを指す、マルバタイジング、フィッシング リンクに依存しています」と、この技術大手は付け加えました。
DEV-0569 の主な目標の XNUMX つは、安全なネットワーク内のデバイスにアクセスして、Royal ランサムウェアを展開できるようにすることです。 その結果、このグループは、他のハッカーにアクセス権を販売することで、他のランサムウェア オペレーターのアクセス ブローカーになる可能性があります。
さらに、このグループは Google 広告を使用してリーチを拡大し、正当なインターネット トラフィックに溶け込んでいます。
「Microsoft の研究者は、Google 広告を利用した DEV-0569 マルバタイジング キャンペーンを特定しました。これは、正当なトラフィック分散システム (TDS) Keitaro を指しています。Ketaro は、広告トラフィックの追跡とユーザーまたはデバイス ベースのフィルタリングを介して広告キャンペーンをカスタマイズする機能を提供します」と同社は述べています。 . 「Microsoft は、TDS がユーザーを正規のダウンロード サイトにリダイレクトするか、特定の条件下では悪意のある BATLOADER ダウンロード サイトにリダイレクトすることを確認しました。」
したがって、この戦略により、攻撃者は特定のターゲットと IP にマルウェアを送信することで、既知のセキュリティ サンドボックス ソリューションの IP 範囲をバイパスできます。