LOBSHOT マルウェアがマルバタイジング調査で発見
Elastic Security Labs の研究者は最近、マルバタイジング キャンペーンの増加に関する徹底的な調査中に、 LOBSHOTと呼ばれる新しいマルウェアを発見しました。 LOBSHOT は、感染したデバイスへの隠れた VNC (仮想ネットワーク コンピューティング) アクセスを脅威アクターに許可するため、特に興味深いものです。研究者らはまた、このマルウェアと、さまざまなランサムウェアやバンキング型トロイの木馬を展開することで知られる金銭目的のサイバー犯罪グループ TA505 との関連性も発見しました。
目次
マルバタイジングキャンペーンの急増
マルバタイジングキャンペーンの数は増加しており、そのステルス性により、ユーザーが正規の広告と悪意のある広告を区別することが困難になっています。セキュリティ研究者らは、この増加の原因がサービスとしてのマルバタイジングを販売する攻撃者にある可能性があると観察しており、オンライン広告を操作する際に警戒することの重要性をさらに強調しています。
Elastic Security Labs は調査を通じて、広く使用されているアプリケーションの特定の脆弱性を標的とするエクスプロイト キットを利用したマルバタイジング キャンペーンの顕著な急増を観察しました。これらのキャンペーンはいくつかの人気 Web サイトでますます確認されており、数百万人のユーザーが潜在的な脅威にさらされています。通常、これらの Web サイトの訪問者はマルバタイズメントに遭遇し、クリックするとエクスプロイト キットのランディング ページにリダイレクトされ、最終的にユーザーのデバイス上で LOBSHOT が実行されます。
TA505 インフラストラクチャー
TA505 は、LOBSHOT の開発と展開に関与している疑いのあるサイバー犯罪グループで、その広範な悪意のある活動が長い間認識されてきました。このグループは、よく組織化された多様な攻撃キャンペーンを行っていることで知られており、主なターゲットとして特に金融機関に焦点を当てていますが、悪意のある活動を他の業界にも拡大しています。
LOBSHOT の分析後、Elastic Security Labs は、マルウェアのインフラストラクチャと以前に特定された TA505 インフラストラクチャとの間に明らかな重複があることを発見しました。攻撃手法と重複するインフラストラクチャの類似性は、TA505 が LOBSHOT の開発と積極的な使用に関与しているという仮説に信憑性を与えます。
隠しVNCアクセス
LOBSHOT の最も懸念される側面の 1 つは、VNC を介して攻撃者に被害者のデバイスへの隠れたアクセスを許可する機能です。この特定の機能により、攻撃者はユーザーの同意を回避しながら感染したデバイスにリモート アクセスできるようになり、ユーザーが知らないうちに機密データを監視、操作、抽出できるようになります。隠蔽された VNC アクセスにより、LOBSHOT はサイバー犯罪者、特に金銭目的の犯罪者にとって強力かつ危険なツールになります。
配布方法
LOBSHOT マルウェアの配布方法には、Google 広告や偽の Web サイトを利用して、疑いを持たない被害者を誘惑するという欺瞞的な戦術が含まれていることが観察されています。これらの手法は、このマルウェアの背後にある攻撃者の高度さと順応性をさらに示しており、エンド ユーザーが広告を閲覧したりクリックしたりする際に注意することがさらに重要になっています。
Google 広告を通じた偽ウェブサイト
LOBSHOT が配布される主な方法の 1 つは、Google 広告を通じて宣伝される偽の Web サイトの使用です。脅威アクターは、正規の Web サイトやサービスを模倣するように設計された偽の Web サイトを作成および維持します。 Google 広告プラットフォームを悪用することで、攻撃者は悪意のある広告を何も知らないユーザーに表示し、広告が本物であるかのようにクリックして、デバイスに LOBSHOT マルウェアをインストールする可能性があります。
ユーザーを偽の AnyDesk ドメインにリダイレクトする
LOBSHOT マルウェアの配布プロセスには、偽の Web サイトを使用する以外に、偽の AnyDesk ドメインへのユーザーのリダイレクトも含まれます。 AnyDesk は、多くの企業や個人がリモート アクセスとサポートに依存している人気のあるリモート デスクトップ アプリケーションです。攻撃者はこの信頼を利用して、架空の AnyDesk ドメインを作成し、ユーザーをだましてソフトウェアの悪意のあるバージョン (実際には LOBSHOT マルウェア) をダウンロードさせました。この手法は、サイバー犯罪者が被害者を罠にはめて悪意のある活動を実行するために使用する狡猾な戦術をさらに浮き彫りにします。
侵害されたシステムを介したインストール
場合によっては、LOBSHOT マルウェアが、侵害されたシステムを通じて被害者のデバイスにインストールされる可能性があります。これは、ユーザーがマルウェアに感染した Web サイトに知らずにアクセスしたり、そこからコンテンツをダウンロードしたり、スピア フィッシング キャンペーンのターゲットになった場合に発生する可能性があります。マルウェアが被害者のデバイスへの侵入に成功すると、脅威アクターに隠れた VNC アクセスが許可され、攻撃者は必要に応じてシステムをリモートで制御および操作できるようになります。
LOBSHOTの機能
LOBSHOT マルウェアは、ユーザー デバイスへの侵入と悪用に熟達する、さまざまな強力な機能を誇っています。このマルウェアは主に隠れた仮想ネットワーク コンピューティング (hVNC) に焦点を当てており、攻撃者が感染したデバイスをリモートで制御し、そのユーザー インターフェイスにアクセスできるようにします。 LOBSHOT の中核となる機能は次のとおりです。
隠れた仮想ネットワーク コンピューティング (hVNC)
LOBSHOT の機能の中心となるのは、被害デバイスへの隠れた VNC アクセスを提供する機能です。 hVNC を通じて、攻撃者は被害者の同意や知識なしにデバイスをリモート制御する秘密の方法を許可されます。 hVNC 機能により、悪意のある者がさまざまな不正行為を実行しながら、侵害されたデバイス上でステルス状態を維持できるようになるため、LOBSHOT は特に危険になります。
デバイスのリモートコントロール
LOBSHOT の hVNC 機能を使用すると、攻撃者は感染したデバイスを完全に制御し、正規のユーザーであるかのようにコマンドを実行し、変更を加え、リソースにアクセスできます。このレベルの制御により、脅威アクターは、データの引き出し、追加のマルウェアのインストール、スパイ活動の実施など、幅広い悪意のある活動を実行できるようになります。被害者のデバイスを遠隔操作できるということは、LOBSHOT がもたらす重大な脅威を強調しています。
フルグラフィックユーザーインターフェース(GUI)
このマルウェアは、ターゲット デバイスのフル グラフィック ユーザー インターフェイス (GUI) にアクセスする機能も備えています。これは、攻撃者がデバイスのデスクトップ環境と視覚的に対話できることを意味します。この機能は、脅威アクターが侵害されたデバイスをナビゲートして操作することを容易にすることで、マルウェアに別の効率性と制御層を追加します。完全な GUI にアクセスすると、攻撃者はユーザーのアクティビティを監視し、機密情報にアクセスし、正規のユーザーに起因するアクションを実行できるようになり、LOBSHOT の有害性がさらに強調されます。
緩和と懸念
LOBSHOT マルウェアは、その隠れた VNC 機能と、TA505 などの金銭目的の攻撃者との関連性により、個人ユーザーと組織の両方に重大な懸念をもたらします。これらの懸念を軽減し、対処するには、潜在的なリスクを理解し、適切な防御策を導入するとともに、Google 広告などのプラットフォームに対する規制の強化を求める必要があります。
銀行および金融情報の窃盗
LOBSHOT に関する主な懸念の 1 つは、感染したデバイスから銀行情報や金融情報が盗まれる可能性があることです。隠蔽された VNC アクセスにより、攻撃者は検出されずにデバイスに侵入し、ユーザーのアクティビティを監視し、ログイン資格情報、アカウント番号、トランザクションの詳細などの機密データを取得できます。このような情報は、経済的利益のために悪用されたり、クレデンシャル スタッフィングやフィッシング キャンペーンなどのさらなる攻撃に使用される可能性があります。
Googleに広告規制の強化を求める
Google広告を通じたマルウェア配布の脅威の増大に対応して、複数の研究者やセキュリティ専門家は、Googleの持ち株会社であるAlphabetに対し、広告の承認に関してより厳格な規制を課すよう求めている。より堅牢な広告スクリーニング プロセスと検証メカニズムを実装すると、LOBSHOT のようなマルウェアの拡散を最小限に抑え、無防備なユーザーがそのような脅威の犠牲になるリスクを軽減できます。それまでの間、エンド ユーザーは、アクセスしているドメインとダウンロードしているソフトウェアの正当性を確認して、予防措置を講じる必要があります。