過去数週間にわたり、システム管理者をターゲットにしたActive Nitrogenキャンペーンが観察された。このキャンペーンでは、Googleの検索エンジンページに表示されるスポンサー広告を通じて、PuTTYやFileZillaなどの人気システムユーティリティの詐欺広告が表示される。これらの広告は北米にローカライズされており、被害者はPuTTYやFileZillaのインストーラーに偽装したNitrogenマルウェアをダウンロードして実行することにより騙される。Nitrogenは、脅威アクターがプライベートネットワークへの初期アクセスを得るために使用され、その後データ盗難やBlackCat/ALPHVなどのランサムウェアの展開につながる。このキャンペーンはGoogleに報告されたが、まだ対応されていない。
このブログ投稿は、防御者が行動を起こすための戦術、技術、手順(TTP)および侵害の指標(IOC)を共有することを目的としている。悪意のある広告を通じて被害者を誘い込むことから侵入が始まり、Nitrogen脅威アクターによって展開されたマルバタイジングインフラストラクチャは、偽装ページを使用してデコイサイトまたはリック・アストリーのビデオにリダイレクトする。実際の類似ページは、潜在的な被害者のために用意されており、誰もが簡単に騙される可能性があるほど良くできたコピーである。最終ステップでは、詐欺的なインストーラーを介してマルウェアのペイロードがダウンロードおよび実行される。Nitrogenは、正当で署名された実行可能ファイルがDLLを起動するというDLLサイドローディングとして知られる技術を使用する。この場合、setup.exe(Python Software Foundationから)がpython311.dll(Nitrogen)をサイドロードする。
侵害の指標には、クローキングドメイン(kunalicon[.]com、inzerille[.]com、recovernj[.]com)や類似サイト(file-zilla-projectt[.]org、puuty[.]org、pputy[.]com、puttyy[.]ca)、NitrogenペイロードのURL、およびSHA256ハッシュ値が含まれる。また、NitrogenのC2サーバーアドレスも公開されている。
【ニュース解説】
過去数週間にわたり、システム管理者を狙った「Active Nitrogen」と呼ばれるキャンペーンが発生しています。このキャンペーンは、Googleの検索結果ページに表示されるスポンサー広告を介して、PuTTYやFileZillaといった人気のシステムユーティリティの偽広告を表示することで、北米のユーザーをターゲットにしています。これらの広告を通じて、被害者はNitrogenマルウェアに感染したPuTTYやFileZillaのインストーラーをダウンロードし、実行してしまうリスクにさらされます。Nitrogenマルウェアは、脅威アクターがプライベートネットワークにアクセスし、データを盗み出し、最終的にはランサムウェアを展開するために使用されます。
このキャンペーンの特徴は、悪意のある広告を通じて被害者を誘い込むことから始まります。これらの広告は、IT管理者にとって必要不可欠なツールであるPuTTYやFileZillaのように見せかけています。次に、被害者は偽装ページにリダイレクトされ、そこからマルウェアが含まれたインストーラーをダウンロードすることになります。このプロセスでは、DLLサイドローディングという技術が使用されており、正規の実行可能ファイルが悪意のあるDLLを起動することで、マルウェアがシステムに侵入します。
このような攻撃は、企業や組織にとって深刻なセキュリティリスクをもたらします。一度侵入されると、機密情報の盗難やランサムウェアによるデータの暗号化など、甚大な被害につながる可能性があります。また、このキャンペーンは、検索エンジンを通じた広告がいかにマルウェア配布の手段として利用され得るかを示しています。
対策としては、ユーザー教育の強化が重要です。特に、広告を通じたフィッシング詐欺に対する認識を高め、不審な広告やリンクには注意を払うよう指導する必要があります。また、DNSフィルタリングやエンドポイント検出・対応(EDR)ソリューションの導入により、悪意のある広告やマルウェアの侵入を防ぐことができます。
長期的には、このような攻撃に対する防御策を継続的に更新し、セキュリティ対策を強化していくことが必要です。また、検索エンジンや広告プラットフォームも、悪意のある広告を特定し、排除するための技術やポリシーをさらに発展させることが求められます。このキャンペーンは、サイバーセキュリティの脅威が常に進化していることを示しており、それに対応するためには、技術的な対策だけでなく、ユーザーの意識向上も同時に進める必要があります。
from Active Nitrogen campaign delivered via malicious ads for PuTTY, FileZilla.
