-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
3月22〜24日:サイバーセキュリティ関連ニュース
マイクロソフトの信頼された署名サービス、マルウェアへのコード署名目的で悪用される
BleepingComputer – March 22, 2025
サイバー犯罪者らがマイクロソフトの「信頼された署名」プラットフォームを不正に利用し、マルウェア実行ファイルへのコード署名を行っていることが明らかに。この手法を用いて署名されたマルウェアのサンプルには、ロシア語話者グループCrazy Evilの暗号資産窃取キャンペーンやLumma Stealerのキャンペーンで使われたものも含まれていたという。
MalwareHunterTeamは3月上旬、「Microsoft ID Verified CS EOC CA 01」によって署名されたマルウェアのサンプルについてXに投稿し、証明書の有効期限がたった3日後であったことも報告。それ以降、ほかの研究者たちやBleepingComputerのチームも、進行中のマルウェアキャンペーンにおいて同様の手法で署名されたマルウェアサンプルを多数発見したという。
マイクロソフトの「信頼された署名」は2024年にローンチされたクラウドベースのサービスで、開発者はこれを利用することでプログラムの証明書の署名プロセスを簡略化することができる。また証明書の有効期限が短いため、不正利用などがあった際には簡単に証明書を失効させられるようになっているほか、データ漏洩時の窃取に備えて開発者へ直接証明書を発行しないなど、セキュリティを強化するための措置も講じられている。さらに悪用を防ぐため、設立日から3年未満の組織には当該組織名の下での証明書発行は不可となっているものの、個人であればより簡単にサインアップや承認プロセスを通過することができるという。
長年証明書の悪用を伴うマルウェアキャンペーンを追跡してきたサイバーセキュリティ研究者/開発者の「Squiblydoo」は、脅威アクターたちが利便性を理由にEV証明書ではなくマイクロソフトの証明書サービスを使うようになっているとの考えを語っている。同氏によれば、マイクロソフトはEV証明書をめぐって変更を加えるとアナウンスしたが、この変更内容が不透明であるが故に、EV証明書の検証プロセスよりもマイクロソフトの証明書の検証プロセスの方が大幅に簡単になっているのだという。
マイクロソフト社は今回の不正利用について問われ、脅威インテリジェンスモニタリングをアクティブに実施しており、悪用を発見次第証明書を失効させていると回答。BleepingComputerから同社へ共有されたマルウェアサンプルは同社のアンチマルウェア製品に検出されており、当該証明書の失効は済んでいると述べたとのこと。
感染したWordPress通じて偽のCloudflare検証プロンプトがLummaStealerを配布
Securityonline[.]info – March 23, 2025
偽のCloudflare検証プロンプトを利用し、ユーザーを騙してLummaStealerのインストールへ繋がる有害PowerShellコマンドを実行させる広範なマルウェアキャンペーンについて、SucuriのセキュリティアナリストBen Martin氏が報告。このキャンペーンでは、侵害されたWordPressサイトが攻撃の足場として悪用されているという。
Martin氏が観測したキャンペーンは、WordPressサイトの訪問者に「人間であることを確認」するためのCloudflareサービスに見せかけた検証ページを提示し、これを信じた訪問者にPowerShellコマンドを実行させるというもの。ボット対策ページでは通常CAPTCHAが使用されるが、この攻撃では「Windows Defender」を起動させるためと称して、キーボードの「Windows」キーと「R」キーを同時に押した後、「Ctrl」キーと「V」キーを同時に押し、最後に「Enter」を押下するようユーザーに指示。ユーザーがこの指示に従うと、PowerShellコマンドによって「TestLAB.exe」として知られるペイロードがダウンロードされる。このペイロードは、50以上のアンチウイルスツールによってLummaStealerとの関連が指摘されているものだという。
上記の手口でサイト訪問者を騙してマルウェアを展開するために、攻撃者は以下のような悪性WordPressプラグインを使用する。
- ./wp-content/plugins/SwiftPress/SwiftPress.php
- ./wp-content/plugins/nwPostSaver/nwPostSaver.php
これらのプラグインには、base64やhexでエンコードされた有害ペイロードへのリンクが含まれており、ペイロードのホスト先には以下のようなドメインがあるという。
- hxxps://qq525f[.]short[.]gy/claud
- hxxps://warther[.]info/collect.php
LummaStealerはLummaC2としても知られる情報窃取型トロイの木馬で、ログイン認証情報やブラウザクッキー、暗号資産ウォレットデータなどを盗み出すことができる。このキャンペーンはWindowsシステムを標的としており、上記のプロセスでマルウェアがデプロイされると、攻撃者は被害者のシステムへの完全なアクセスを取得し、思うがままにすることが可能になるという。
Martin氏は、Webサイトへ訪問する条件としてユーザーが「Windows Defenderを起動させよ」と求められるような世界線は存在しないし、PowerShellコマンドの実行を迫られるようなことは実際にはあり得ないと述べ、Windows + Rキーの押下を要求されても応じないよう注意喚起した。
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
マキナレコードが運営するメディア「Codebook」にて、サイバーセキュリティの2024年を振り返るEブックを作成しました。本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
