BlackCatの侵入経路に不正広告、攻撃者はSpyBoy Terminatorも活用
トレンドマイクロは、WinSCPなど正規組織のクローンWebページを用い、不正広告を通じてマルウェアを拡散する攻撃を発見しました。BlackCat(別称ALPHV)との関連性も明らかになりました。
トレンドマイクロのインシデントレスポンスチームは、TAD(Targeted Attack Detection)サービスにおいて攻撃を示唆する非常に疑わしい挙動を確認しました。その後、標的となった企業と連携を図りました。このケースでは、攻撃者は不正広告(マルバタイジング)を利用し、正規組織のクローンWebページを通じてマルウェアを拡散していました。また、ファイル転送用のWindowsオープンソースアプリケーションであるWinSCPのWebページが悪用されていました。
Google Adsのような広告用プラットフォームは、広告主企業のターゲットとなるオーディエンスに広告を表示することでトラフィックを増加させ、結果として売上を増加させることが可能となります。マルウェアの拡散者は、この機能をマルバタイジングとして知られる手法を用いて悪用します。特定のキーワードをハイジャックして不正な広告を表示することで無防備な検索エンジンの利用者を誘導し、特定の種類のマルウェアをダウンロードさせます。今回標的となった企業はトレンドマイクロと共同で調査を実施し、攻撃者が同企業のネットワーク内で以下の不正活動を行っていたことを確認しました。
BlackCatの侵入経路に不正広告、攻撃者はSpyBoy Terminatorも活用
