悪名高いランサムウェアグループが被害者を罠にかけるために偽のMicrosoft Teams広告を拡散中

Microsoft Teamsを検索するユーザーは最近特に注意が必要です。Rhysidaランサムウェアグループが偽の広告を使って人々を騙し、マルウェアをダウンロードさせようとしているからです。サイバーセキュリティ企業Expelは、これらの誤解を招く広告がOysterLoaderというマルウェアを配布していることを発見しました。OysterLoaderは以前BroomstickやCleanUpLoaderとして知られていました。RhysidaがMicrosoft Teamsを偽装するのはこれが初めてではなく、実際には過去1年半で2回目のキャンペーンです。OysterLoaderは初期アクセスツール（IAT）として機能し、インストールされると被害者のデバイスとネットワークにバックドアを開き、攻撃者が長期的にアクセスを維持できるようにします。\n\nこの攻撃手法は非常に巧妙で、マルバタイジングに大きく依存しています。RhysidaはBingの検索エンジン上で正当な広告のように見える広告を購入し、ユーザーを公式に見えるが実際は悪意のあるダウンロードページに誘導します。Expelの脅威インテリジェンスアナリスト、アーロン・ウォルトンは、これらの広告により被害者が検索結果から簡単にマルウェアを見つけてダウンロードできると説明しました。現在の餌はMicrosoft Teamsですが、過去にはPuTTYやZoomなどの人気アプリも使って被害者を誘い込んでいます。\n\n検出を困難にするために、Rhysidaはマルウェアの本来の機能を隠すパッキングツールを使用し、マルウェアが初めて現れた際の検出率を低くしています。また、通常は正規のソフトウェア発行者にのみ発行されるコード署名証明書も使用しています。このトリックにより悪意のあるファイルの信頼性が高まり、即座の疑いを回避できます。興味深いことに、これらの証明書はすぐに取り消される傾向があり、これが新たなキャンペーンの波が始まったことをセキュリティ企業が特定する手助けとなっています。新しい証明書は新しいマルウェアのバッチがリリースされたことを示すためです。\n\nOysterLoaderに加え、RhysidaはLatrodectusという別のマルウェアも初期ネットワークアクセス用に展開しています。Expelは検出ルールを開発する過程でこれを観察しました。RhysidaはMicrosoftのTrusted Signingサービスを利用してコード署名証明書を取得している点で他のサイバー犯罪グループと異なります。このサービスは証明書の悪用を防ぐために設計されていますが、彼らはこの保護を回避する方法を見つけたようです。\n\nこのグループは2021年にVice Societyとして発足し、2023年にRhysidaに改名しました。ランサムウェア・アズ・ア・サービス（RaaS）モデルで二重恐喝戦術を用いています。それ以来、政府機関、医療機関、重要インフラを含む約200の被害者をデータ漏洩サイトに公開しています。今年の注目すべき被害者にはオレゴン州環境品質局、テネシー州クックビル地域医療センター、カンザス州サンフラワー医療グループ、精神疾患と依存症に焦点を当てたコミュニティケアアライアンスが含まれます。また、メリーランド州運輸局や英国図書館も標的にされています。\n\nこれらの動向は、Rhysidaのような高度なランサムウェアグループが検出を回避し影響を最大化するために戦術を絶えず適応させていることを示しています。オンラインソースからソフトウェアをダウンロードする際は、組織や個人が常に警戒を怠らないことが重要です。公式チャネルを通じてダウンロードリンクを必ず確認し、このような悪意ある手口に陥らないようにしましょう。