本記事は、マキナレコードが提携するSilent Push社のブログ記事『Google Advertising Out to Lunch? Simple Pivots Catch an Ongoing Malvertising Campaign Hiding in Plain Sight』(2024年12月13日付)を翻訳したものです。
こちらのページから、Silent Pushが公開しているその他のブログ記事もご覧いただけます。
Silent Pushについて
Silent Pushは、先駆的なサイバーセキュリティインテリジェンス企業です。リアルタイムで新たに出現する脅威インフラを完全に把握し、独自の未来攻撃指標(IOFA)データを通じて、攻撃を効果的に阻止します。Silent Pushは、スタンドアロンのプラットフォームとして提供されるだけでなく、APIを通じてSIEM、XDR、SOAR、TIP、OSINTを含むさまざまなセキュリティツールと統合し、自動化された実行可能なインテリジェンスを提供します。顧客には世界最大規模の企業や政府機関が含まれています。
関連記事:マキナレコード、Silent Pushと提携し、攻撃を未然に防ぎ被害を防ぐ先制サイバー防御ソリューションを提供
要点
- Silent Pushの脅威アナリストは、グラフィックデザインのプロを標的にして、Google検索広告を公然と悪用する一連のマルバタイジングキャンペーンが実施されていることを確認しました。
- 弊社は、2件のIPアドレス「185.11.61[.]243」と「185.147.124[.]110」のみでホストされているマルバタイジングキャンペーンを、少なくとも10件文書化しました。
- 弊社はパートナーと共に調査を行ったところ、この2件のIPアドレスでホストされた複数のサイトがGoogle検索の広告キャンペーンで展開されており、そのすべてが有害なダウンロードに結びついているものであることを突き止めました。
概要
脅威アクターの追跡に関して、Silent Pushの脅威アナリストはそのプロセスが複雑になり得ることを理解しており、これはほかの組織より効率よく脅威アクターを追跡しようとする特定の組織にとって、珍しいことではありません。こういったケースは通常、情報の可視性に差があったり、特定のインテリジェンスが利用できなかったりすることによって生じます。
しかし、どのIPアドレスがドメインをホストしているかを調べる簡単なプロセスを実施し、そのIPアドレスについてほかの類似ドメインがないかどうかを調査することは、複雑な作業ではありません。これは初心者向けの手法であり、脅威分析に慣れていない者でも行うことができます。
それにもかかわらず、Googleの広告担当チームは、この一連のマルバタイジングキャンペーンをしっかり阻止することができていないようです。同キャンペーンはグラフィックデザインのプロをターゲットに、約1か月にわたって実施されています。
これらのドメインは遅くとも昨年11月13日以降、マルバタイジングキャンペーンを行うために毎日、毎週立ち上げられました。こういったキャンペーンは本記事執筆時点で、2件の専用IPアドレス「185.11.61[.]243」と「185.147.124[.]110」でホストされています。
弊社の調査パートナーによると、これら2件のIPアドレスの範囲に由来するサイトはGoogle検索の広告キャンペーンで立ち上げられ、そのすべてが害のあるさまざまなダウンロードを促しているとのことです。
調査の最終月には、Silent Pushの脅威アナリストがGoogle広告経由で展開されたマルバタイジングキャンペーンを少なくとも10件文書化しました。これらは上記IPアドレスのいずれかにマッピングされたドメインを使用しています。
単一の脅威アクターが専用のIPアドレス範囲を所有
まず、IPアドレス「185.11.61[.]243」についてお話します。本記事執筆時点で、このIPアドレスには109のユニークなドメインがマッピングされており、そのすべてがグラフィックデザイン/CADを題材にしたこのキャンペーンに使用されているものと思われます。最初のドメインは2024年7月29日に追加され、最新のものは同年11月25日に追加されました。

「185.11.61[.]243」にマッピングされたドメインのスクリーンショット
一方で「185.147.124[.]110」には、本記事執筆時点で85のユニークなドメインがマッピングされています。最初にドメインが追加されたのは2024年11月25日で、最新のものが追加されたのは同年12月13日でした。

「185.147.124[.]110」にマッピングされたドメインのスクリーンショット
Google検索上で展開される、グラフィックデザイン関連のマルバタイジングキャンペーンを分析
このマルバタイジングキャンペーンは2024年11月13日、同月6日から「185.11.61[.]243」でホストされているfrecadsolutions[.]comで初めて開始されました。弊社はここから、このIPアドレスがほかにも数十件の類似ドメインをホストしていることに気づきました。これらは同様の目的で存在している可能性があると考えています。

1件目のマルバタイジングキャンペーンはfrecadsolutions[.]comで開始された
2024年11月14日、あるマルバタイジングキャンペーンがfrecadsolutions[.]ccで開始されました(トップレベルドメインが「com」から「cc」へわずかに変わっていることに注意)。このサイトも同月6日から「185.11.61[.]243」でホストされています。同キャンペーンはマルウェアをダウンロードさせるために、本来は正規のファイルホスティングサイトであるBitbucketを使用しています。

2件目のマルバタイジングキャンペーンはfrecadsolutions[.]ccで開始された
2024年11月26日には、freecad-solutions[.]netを使った別のマルバタイジングキャンペーンが開始されました。このサイトは同月1日〜26日まで「185.11.61[.]243」でホストされ、その後に「185.147.124[.]110」へ移り、現在もそのまま変更されていません。

3件目のマルバタイジングキャンペーンはfreecad-solutions[.]netで開始された
2024年11月27日、frecadsolutions[.]orgを使ったマルバタイジングキャンペーンが開始されました。このサイトは同月6日〜26日まで「185.11.61[.]243」でホストされ、その後に「185.147.124[.]110」へ移り、現在もそのまま変更されていません。

4件目のマルバタイジングキャンペーンはfrecadsolutions[.]orgで開始された
2024年11月27日、rhino3dsolutions[.]ioを使ったマルバタイジングキャンペーンが開始されました。このサイトは同月17日〜26日まで「185.11.61[.]243」で、同月26日から本記事執筆時点までは「185.147.124[.]110」でホストされていました。

5件目のマルバタイジングキャンペーンはrhino3dsolutions[.]ioで開始された
2024年11月27日、rhino3dsolutions[.]orgを使ったマルバタイジングキャンペーンが開始されました。このサイトは同月18日〜26日まで「185.11.61[.]243」で、同月27日から本記事執筆時点までは「185.147.124[.]110」でホストされていました。

6件目のマルバタイジングキャンペーンはrhino3dsolutions[.]orgで開始された
2024年11月27日、rhino3dsolutions[.]netを使ったマルバタイジングキャンペーンが開始されました。このサイトは同月17日〜26日まで「185.11.61[.]243」で、同月26日から本記事執筆時点までは「185.147.124[.]110」でホストされていました。

7件目のマルバタイジングキャンペーンはrhino3dsolutions[.]netで開始された
2024年12月5日、planner5design[.]netを使ったマルバタイジングキャンペーンが開始されました。このサイトは同月1日〜6日まで「185.147.124[.]110」でホストされていました。

8件目のマルバタイジングキャンペーンはplanner5design[.]netで開始された
2024年12月9日、onshape3d[.]orgを使ったマルバタイジングキャンペーンが開始されました。このサイトは同月1日から本記事執筆時点まで「185.147.124[.]110」でホストされていました。

9件目のマルバタイジングキャンペーンはonshape3d[.]orgで開始された
2024年12月10日、frecad3dmodeling[.]orgを使ったマルバタイジングキャンペーンが開始されました。このサイトは同月8日から本記事執筆時点まで「185.147.124[.]110」でホストされていました。

10件目のマルバタイジングキャンペーンはfrecad3dmodeling[.]orgで開始された
研究パートナーの皆さまに心より感謝を
Silent Pushのアナリスト一同、これらのマルバタイジングドメインにまず光を当てた研究パートナーの皆さまのご協力に感謝しています。Silent Pushはこういったマルバタイジングの試みを完全に把握しているわけではなく、現時点で共有できるマルウェア分析も用意できていませんが、攻撃者のホスティングインフラの手がかりを得られるデータは確実にそろっています。信頼で結ばれ、研究内容を共有可能なサークルにおいて力を合わせることで、こうした複雑な脅威に光を当て、その姿を浮かび上がらせることができるようになるのです。Silent Pushは、そのための取り組みに敬意を表します。
研究共有の取り組みへの参加に関心がある、または興味深い脅威にさらされており、Silent Pushと共有したい、あるいはSilent Pushの支援を必要とされる場合は、info@silentpush[.]comまでお気軽にお問い合わせください。
緩和策
すべてのマルバタイジングドメインが大きな脅威であり、とりわけ企業環境に重大なリスクをもたらす。Silent Pushはそう確信しています。
弊社アナリストはマルバタイジングに焦点を当てたIOFA(未来攻撃指標)ドメインのリストに加え、疑わしいマルバタイジングIPを含むIOFAフィードを提供する、Silent Push IOFAフィードを構築しました。
Silent Push IOFAフィードは、エンタープライズ版サブスクリプションの一部としてご利用いただけます。エンタープライズユーザーの皆さまは、IOFAフィードのデータをご自身のセキュリティスタックへ取り込み、それぞれの検知プロトコルにこの情報を盛り込むことが可能です。あるいはこのデータは、Silent Push ConsoleおよびFeed Analyticsスクリーンを使って攻撃者インフラ全体をさらに調べる目的でもご利用いただけます。
コミュニティ版への登録を
Silent Pushのコミュニティ版は無料の脅威ハンティング・サイバー防衛プラットフォームで、多様な最新オフェンシブ/ディフェンシブ検索やWebコンテンツクエリ、エンリッチメント済みデータタイプを備えています。
無料アカウントへのサインアップはこちらからどうぞ。
IOFA(未来攻撃指標)
以下にIOFAのサンプルをリストアップしました。Silent Pushエンタープライズ版のユーザーは完全なリストを利用できるほか、このマルバタイジングインフラの情報を含むドメインおよびIPのフィードにアクセスできます。
- 185.147.124[.]110
- 185.11.61[.]243
- calibrebook[.]com
- calibrebook[.]net
- frecad3dmodeling[.]net
- frecad3dmodeling[.]org
- frecad3dsolutions[.]com
- frecad3d-solutions[.]com
- frecad-3dsolutions[.]com
- frecad3d-solutions[.]net
- frecad-3dsolutions[.]net
- frecad3dsolutions[.]org
- frecad-3dsolutions[.]org
- frecaddevelop[.]com
- frecaddevelop[.]org
- frecaddevelopment[.]com
- frecaddevelopment[.]net
- frecaddevelopment[.]org
- frecadmodeling[.]com
- frecadmodeling[.]net
- frecadmodeling[.]org
- frecadsolution[.]net
- frecadsolutions[.]cc
- frecadsolutions[.]org
- frecad-solutions[.]org
- freecad3dsolution[.]net
- freecad3dsolutions[.]com
- freecadblog[.]com
- freecadblog[.]io
- freecadblog[.]net
- freecadblogs[.]net
- freecad-solutions[.]net
- freecadsolutionsllc[.]com
- freeecadmodeling[.]net
- onshape3d[.]com
- onshape3d[.]org
- onshapedev[.]net
- onshapedevelop[.]com
- onshapedevelop[.]net
- onshapedevelop[.]org
- planner5ddevelop[.]com
- planner5ddevelop[.]net
- planner5design[.]com
- planner5design[.]net
- planner5designs[.]com
- planner5designs[.]org
- recad3dsolutions[.]org
- rhino3dsolutions[.]io
- rhino3dsolutions[.]net
- rhino3dsolutions[.]org
- rhinoceros-3d[.]com