1Campaign：サイバー犯罪プラットフォームが悪質なGoogle広告を長期検出回避

サイバー犯罪プラットフォーム「1Campaign」が悪質なGoogle広告を長期検出回避

セキュリティ研究者らは、1Campaignと呼ばれる新たなサイバー犯罪アズ・ア・サービス（CaaS）プラットフォームを特定した。このプラットフォームは、脅威アクターが長期間にわたり検出を回避しながら悪質なGoogle広告を配信することを可能にしている。このサービスは、マルウェアを拡散しながら、セキュリティチームや研究者の監視の目をかいくぐって活動を続けている。

主な発見

BleepingComputerが公開した調査結果によると、1Campaignは脅威アクターに対し、Googleの広告ネットワーク上で悪質な広告キャンペーンを作成・管理するためのツールを提供している。これらの広告は、正規のソフトウェアダウンロードやアップデートを装い、ユーザーをマルウェアがホストされた侵害済みまたは攻撃者が管理するウェブサイトにリダイレクトする。このプラットフォームの回避技術により、Googleのセキュリティメカニズムに検出されることなく、数週間から数ヶ月にわたりキャンペーンが継続している。

技術的詳細

1Campaignは、検出を回避するために以下のような手法を採用している：

• 難読化：悪質なペイロードは高度に難読化され、自動スキャンツールを回避する。
• ドメインローテーション：攻撃者は頻繁にドメインを変更し、ブラックリスト化を防ぐ。
• 振る舞い回避：プラットフォームはクローキング技術を使用し、セキュリティツールには無害なコンテンツを表示しながら、標的ユーザーには悪質なペイロードを配信する。
• トラフィックフィルタリング：セキュリティ研究者やサンドボックス環境からのリクエストを識別し、ブロックすることで分析を制限する。

これらの広告を通じて拡散されるマルウェアには、情報窃取型マルウェア、リモートアクセストロジャン（RAT）、ランサムウェアが含まれ、個人と組織の両方を標的としている。最近のキャンペーンでは、RedLine Stealer、Lumma Stealer、SectopRATなどのマルウェアファミリーが確認されている。

影響分析

悪質な広告が長期間表示されることで、特に人気のソフトウェアやツールを検索するユーザーに対する感染リスクが高まる。組織にとってのリスクは以下の通り：

• 攻撃対象の拡大：従業員が正規ソフトウェアを装ったマルウェアを誤ってダウンロードする可能性がある。
• データ流出：情報窃取型マルウェアにより、認証情報や金融データ、その他機密情報が収集される恐れがある。
• 業務妨害：ランサムウェアやRATにより、システムの侵害、データの暗号化、不正アクセスが発生する可能性がある。

セキュリティチーム向け推奨対策

1Campaignや同様の脅威に対するリスクを軽減するために、セキュリティ担当者は以下の対策を講じるべきである：

1. 広告監視の強化：エンドユーザーに到達する前に悪質な広告を検出・ブロックするツールを導入する。
2. URLフィルタリングの実施：このようなキャンペーンに関連する悪質または疑わしいドメインへのアクセスを制限する。
3. ユーザー教育：特に偽のソフトウェアダウンロードに関わるフィッシングや悪質広告の手口について、従業員を訓練する。
4. 脅威インテリジェンスの活用：悪質な広告キャンペーンや新たなCaaSプラットフォームを追跡するフィードに登録する。
5. 最小権限の原則の徹底：潜在的な感染の影響を軽減するため、ユーザー権限を制限する。

結論

1Campaignの出現は、サイバー犯罪サービスの進化を浮き彫りにし、低スキルの脅威アクターであっても効果的な悪質広告キャンペーンを展開できるようになっている。セキュリティチームは、システムやデータが侵害される前に、このような脅威を検出し無力化するための積極的な対策を講じる必要がある。

出典：BleepingComputer