コンテンツに移動
脅威インテリジェンス

動機を見抜く: 攻撃者がデジタル アナリティクス ツールを兵器化する方法

2024年9月15日
Mandiant

Adrian McCabe, Ryan Tomcik, Stephen Clement


※この投稿は米国時間 2024 年 8 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。

はじめに

デジタル アナリティクス ツールは、現代の広大なサイバースペースを構成する重要な要素です。リンク短縮ツール、位置情報トラッカー、CAPTCHA、デジタル広告プラットフォームなどのツールは、トラフィック ロード バランサを管理するシステム管理者から、自社ブランドの最大のファン層に向けて関連性の高いコンテンツを配信できるよう取り組むマーケティング担当者や広告主まで、誰もが情報にアクセスし、情報を活用できるようにするうえで、それぞれが役割を果たしています。

ただし、これらのツールは良いことだけでなく、悪意のある目的にも使用される可能性があります。Mandiant Google Cloud の研究者は、脅威アクターがデジタル アナリティクス ツールや広告ツールを巧みに悪用して検出を回避し、悪意のあるキャンペーンの効果を高めているのを目撃しました。

このブログ投稿では、脅威アクターの手口を詳細に分析し、攻撃者がこれらのツールを兵器化して、脅威キャンペーンに悪意のあるデータ分析(「Malnalytics」)機能を追加する方法を明らかにします。そして、これらの戦術の驚くべき有効性を明らかにし、各防御者の環境に適した検出と緩和の戦略を提供します。

リンク短縮ツール

リンク短縮ツールは 2000 年頃に初めて登場して以来着実に人気を高め、インターネット上のあらゆる場面で広く利用されるツールになりました。bit.ly rb.gy などの人気のリンク短縮サービスに加えて、Amazona.co)や Googlegoo.gl)などの大手テクノロジー企業も、リンク短縮に関する独自の構造とスキーマを有しています(Google goo.gl の提供を終了しました)。正当な広告やマーケティングの観点から見ると、リンク短縮サービスは、広告のクリック率などの追跡や、引数がパラメータ化された複雑な URL が共有時に損なわれる確率の低減を目的とするメカニズムとして一般的に使用されています。しかし、リンク短縮ツールやリンク短縮サービスは、悪意のあるランディング ページの URL をわかりにくくする目的で脅威アクターによっても使用されており(MITRE ATT&CK 手法 T1608.005)、Mandiant は、攻撃チェーンの初期アクセス フェーズで、リンク短縮ツールを使用して被害者をリダイレクトする脅威アクターを確認しています。以下は最近の例です。

  • 2022 年春に、UNC1189(別名「MuddyWater」)が、クラウド ストレージ プロバイダでホストされているフィッシングのおとり文書にユーザーを誘導するために、リンク短縮サービスを利用しました。

  • 2021 年春から 2022 年後半にかけて、金銭目的の脅威アクターが仕掛けた一連の SMS フィッシング キャンペーンでは、リンク短縮ツールを利用し、デバイス、位置、ブラウザのチェックのネスト構造を通じて、最終的にクレジット カード情報を盗むことを目的とする一連のフォームにユーザーを誘導しました。

  • 2023 年春のマルバタイジング キャンペーンでは、マルウェア ペイロードをホストする Dropbox URL のクリックスルー データを追跡するために、リンク短縮ツールが利用されました。

隠れた攻撃者

脅威アクターの観点からリンク短縮サービスの機能を紹介するために、このブログ投稿では bit.ly というサービスを取り上げます。bit.ly は、2008 年頃に X(旧 Twitter)で人気を博し、現在でも人気のあるリンク短縮ソリューションです。最新の Software as a ServiceSaaS)プラットフォームの多くと同様に、bit.ly では使用レベルと利用可能な機能に基づく複数のサブスクリプション レベルが提供されています(図 1)。

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig1.max-1100x1100.png

図 1: bit.ly のサブスクリプション ページ

脅威アクターは、直接的なアトリビューションを回避するため、偽造されたか、盗まれた個人情報や支払い情報を使用して、このようなサブスクリプションやサービスの登録を完了する場合があります。設定プロセスが完了したら、攻撃者は短縮リンクの生成を開始できます(図 2)。

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig2.max-800x800.png

図 2: bit.ly のリンク先 URL 構成

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig3.max-800x800.png

図 3: bit.ly のカスタム URL 構成

一部の bit.ly サブスクリプション レベルでは、カスタム フィールドをパラメータとして URL に追加することで、関連アクティビティに関する詳細な分析情報を入手できます(図 4 [カスタム URL パラメータ名] フィールドと値のペアを参照)。この機能セットは、ソーシャル メディア ブランドのインフルエンサー、マーケティング担当者、広告主にとって非常に有益であることは明らかですが、攻撃者はこの機能を利用して、キャンペーン アクティビティに関する追加の分析情報を入手できます。

この架空の例では、攻撃者が市外局番「703」の電話番号を標的とする大規模な SMS フィッシング キャンペーンの一環として、bit.ly の短縮リンクの利用を試みているとします。リンクを開くと、ユーザーは攻撃者が管理する偽の支払いサイトに誘導され、未払い請求書の即時支払いを促されます。

攻撃者は、パラメータ(図 4)を構成して、フィッシング キャンペーンのこのコンポーネント固有の Urchin Tracking ModuleUTMURL(図 5)を追跡目的で生成できます。bit.ly こちらの記事には、これらの種類の URL データ フィールドの正当な使用に関する追加情報が記載されています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig4.max-800x800.png

図 4: カスタム UTM パラメータの構成

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig5.max-700x700.png

図 5: UTM フィールドを含むパラメータ化された URL 構造

通常、攻撃者はキャンペーン インフラストラクチャの URL パラメータに図 5 の例のようにわかりやすくラベル付けされたフィールドを含めませんが、このようなオンライン マーケティング連携とデータ フィールドを活用することの有効性は明白です。このシナリオで使用される用語の意味は次のとおりです。

  • 参照元は、SMS メッセージを受信できるアクティブな電話番号のリストの指定子です。リスト自体と、メッセージを送信するためのインフラストラクチャは bit.ly の外部に存在しますが、これらの URL パラメータを介して対応するクリックスルー アクティビティを関連付けるために、bit.ly を使用できます。

  • メディアは、被害者に対してリンクが表示されるメカニズムです。このケースでは、下流の被害者と、メッセージを最初に送信した攻撃者のインフラストラクチャの電話番号を関連付けるために、攻撃者が「sender_1」を利用します。

  • キャンペーンは、bit.ly 内で表示される関連アクティビティの集約バケットです。bit.ly では、個々のキャンペーンに多数の異なるリンクを関連付けることができますが、関連するアクティビティを同時に追跡できます。

  • キーワードは、検索エンジンのキーワードや用語を、広告主が戦略的に配置した bit.ly リンクにマッピングするために正当な目的で使用されるオプション フィールドです。

  • カスタム URL パラメータ名 - targeting_area_code703: これは、このシナリオのために含まれている完全にカスタマイズされた bit.ly フィールドであり、攻撃者がこの特定のリンクで標的とする市外局番を示します。このケースでは、攻撃者は北バージニアの都市圏であるワシントン D.C. の住民を標的にします。

これらのパラメータが選択され、bit.ly リンクの構成が完了すると、攻撃者はリンクを利用できるようになります。キャンペーンが開始され、選択したメディアによってリンクが配布された後、攻撃者はダッシュボード インターフェース(図 6)を使用して短縮リンクへのアクティビティをモニタリングできます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig6.max-1000x1000.png

図 6: bit.ly のクリックスルー分析ダッシュボード

リンク短縮ツールを悪用した攻撃に対する防御

リンク短縮ツールは広く普及しているため、環境内での使用を一方的にブロックすることは、生産性とユーザー エクスペリエンスの両方に影響を及ぼす可能性が高く、通常はおすすめできません。代わりに、防御者は、次のような動作条件を検出できるなんらかの自動分析の実装を検討する必要があります。

  • 短縮 URL が、異なるインフラストラクチャの 2 つ目の短縮 URL やネストされた短縮 URL にリンクしている

  • 環境内の異なるホストに関連付けられたテレメトリ データに、同じ短縮 URL が短い間隔で複数含まれている

  • クラウド ホスティング サービス上の実行可能ファイルやアーカイブ ファイル、またはファイル形式が「非標準」のファイル(.REV ファイルなど)に URL が直接リンクしている

また、リンク短縮ツールの悪用を示唆する可能性のある、ネットワーク テレメトリ内の疑わしい動作パターンを特定することもできます。この演習の一環として、bit.ly URL を初期感染ベクトル(IIV)として活用する 2 つのシミュレートされた攻撃チェーンに関連付けられたネットワーク テレメトリを確認し、検出やハンティング戦略を構築できる可能性のあるトラフィックの要素をいくつか特定しました。

 

攻撃構成

ネットワーク リクエスト

ハンティング戦略

bit.ly -> 認証情報窃取ページ(afakeloginpage[.]xyz

00:00:00 - init Client Hello (TLS), bit.ly

00:00:00 - init DNS resolution request, afakeloginpage[.]xyz

bit.ly のケースでは、ホストが Client Hello 経由で接続を開始してから、ホストが最終宛先の DNS の解決を開始するまでの遅延は最小限(ミリ秒単位)です。bit.ly トラフィックのすぐ近くに、疑わしいドメインの DNS 解決テレメトリが存在することが明らかな場合(特に「.site」、「.xyz」、「.top」、「.lol」などの非標準 TLD を持つドメインの場合)、アクティビティをより詳細に調査することを検討してください。

bit.ly -> Google ドライブでホストされる zip ファイル

00:00:00 -  init Client Hello (TLS), bit.ly

00:00:00 - DNS resolution request, drive.google[.]com

00:00:00 - Client Hello, drive.google[.]com

00:00:00 - DNS resolution request, drive[.]usercontent[.]google[.]com

前述の例と同様に、ホストが Client Hello 経由で bit.ly への接続を開始してから、drive.google.com および drive.usercontent.google.com ドメインへの接続やそれらのドメイン解決を試行するまでの遅延は最小限(ミリ秒単位)です。特定のホストからこれら 3 つのドメインに短時間で連続してアクセスされている場合は、リモート ファイルに bit.ly リンク経由でアクセスされた可能性が高く、関連するホストの追加調査が必要かもしれません。この検出アプローチは、bit.ly URL のネットワーク リクエストに続いて、ファイアウォールやプロキシ デバイスによってオンライン ストレージまたはファイル共有として分類されたドメインが同時発生するケースを探すことで一般化することもできます。

1: bit.ly 攻撃テレメトリ分析のシミュレーション

世界を文字列化: 兵器化された IP 位置情報ユーティリティ

IP 位置情報ユーティリティは、広告主やマーケティング担当者が、広告リーチの地理的に分散した影響や、マーケティング ファネルの有効性を測定するために正当に使用できます(ただし、粒度とデータ可用性のレベルは変化します)。しかし、Mandiant は、IP 位置情報ユーティリティが攻撃者に利用されていることを確認しています(MITRE ATT&CK 手法 T1614)。Mandiant が確認している IP 位置情報ユーティリティを利用した実際の攻撃パターンには、以下のようなものがあります。

  • Kraken ランサムウェアなどによるホストの侵害に成功した場合に、感染の追跡を目的として位置情報サービスに接続するマルウェア ペイロード。攻撃者は、これによってキャンペーンが広がる速さと範囲を把握できます。

  • IP 位置情報データに基づき、悪意のあるアクションを条件付きで実行するマルウェア。攻撃者は、この機能を利用して脆弱性の範囲をある程度制御できます。ハクティビストによる国家への無差別攻撃のように、動機が本質的に地政学的である場合は、この機能によって「誤爆」を防ぐことができます。トルコを拠点とするシステムを意図的に標的とする Adwind マルウェアの TURKEYDROP 亜種のケースで、この手法の例を確認できます。

  • 脅威アクターは、IP 範囲に基づいてフィッシングのおとりページと第 2 段階のマルウェア ダウンロードにアクセス制限を設定します(Caffeine PhaaS プラットフォームの機能)。これにより、攻撃者はキャンペーン インフラストラクチャが迅速に特定および緩和されないように防御メカニズムを制限できます。

これらの機能は非常にシンプルですが、攻撃者が現在展開中のキャンペーンに関する分析情報を取得し、キャンペーンとその効果を長期化させるために不可欠です。

攻撃方法

攻撃者は多数の IP ベース位置情報ユーティリティを使用していますが、ここでの例には ip2location.io を使用します。

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig7.max-1100x1100.png

図 7: Ip2Location.io のサブスクリプション ページ

ip2location.io は非常に堅牢な機能セット(図 7)を備え、無料バージョンでは相当の制限がある専用 API キーが提供されます。上位レベルのサブスクリプションでは IP アドレスのクエリ結果に関するより詳細な分析情報が提供されますが、これが攻撃者に利用されます。ip2location.io を使用して、以下を特定できる可能性があります。

  • 接続エンティティの IP アドレスが、特定の企業が所有する IP ネットブロック内にあるかどうか

  • 接続エンティティの言語 / 地域に関連付けられた通貨

  • 接続エンティティで VPN が使用されているかどうか

  • 接続エンティティで Tor が使用されているかどうか

攻撃者の視点から見ると、このタイプのツールを活用する主な目的は、プログラムによるアクションと統合して、ターゲティングを最適化し、検出を回避することです。次のサンプル コード スニペットでは、単純なウェブページを JavaScript で構成することで、ip2location API を使用して検索を実行し、ユーザーをその言語 / 地域または接続タイプに基づいて別のページにリダイレクトできます。ユーザーが米国以外の国から接続している場合は、無害なページが表示されます。ユーザーが米国内から接続しており、(一部の分析サンドボックス環境とは異なり)VPN Tor を使用していない場合は、悪意のあるウェブページに誘導されます。VPN Tor を使用している場合は、エラーページが表示されます。

<script type="module">
let raw_response = await 
fetch('https://api.ip2location.io/?key=<key>&format=json');
let response_text = await raw_response.text();
var parsed_json = JSON.parse(response_text);

if(parsed["country_code"]=="US") {
        if(parsed["proxy"]["is_tor"] == true || parsed["proxy"]["is_vpn"] 
        == true)
                document.location = 'error.html';
        else
                document.location = 'evilpage.html';
}

else
        document.location = 'nothingburger.html';
</script>

上の例は、接続ユーザーを接続属性に基づいて別のページに単純にルーティングするように構成されていますが、自動分析ツールを回避するうえで驚くほど効果的である可能性もあります。この種の手法は、地理的に分散した特定の企業を標的とする地域的なフィッシング攻撃や、特定の地域のユーザーを標的とするキャンペーンに特に適しています。

IP 位置情報ユーティリティを悪用した攻撃に対する防御

IP 位置情報ユーティリティは正規のウェブサイトで一般的に使用されていますが、個々のワークステーションなどのエンドポイントにおけるブラウザ以外のプロセスで、このような手法がプログラムで使用される可能性は低いです。これは防御者にとって朗報です。検出とハンティングの活動で、確認された URL ベースのテレメトリ データと、エンドポイント テレメトリの異常なイベントとの関連付けに重点を置くことができるためです。

たとえば、ip2location.io サービスを使用した次の PowerShell コード スニペットでは、シミュレートされた攻撃スクリプトを確認できます。

$Response = Invoke-WebRequest -UseBasicParsing -URI 
https://api.ip2location.io/?key=<key>

if ($Response.Content.IndexOf('"country_code":"US"') -ne "0"){
        $EvilScript = 'echo "<raw bytes of evil file to drop on disk>" >> 
        C:\TEMP\out.tmp'
        iex $EvilScript
}

このコマンドは、PowerShell を利用してプログラムで ip2location.io に接続し、ホストが米国ベースの IP アドレス経由で接続しているかどうかを判別して、その条件を満たす場合はファイル「C:\TEMP\out.tmp」をディスクにドロップします。

ネットワークベースのテレメトリでは、PowerShell Invoke-Webrequest 関数のユーザー エージェントが明確に識別されます。そのため、ip2location.io に接続する PowerShell ユーザー エージェントの動作ネットワーク検出を作成して、このアクティビティを識別できます。これはかなり狭い範囲の検出ですが、防御者は環境の規模とノイズの許容レベルに基づいてコンセプトを広げることができます。

CAPTCHA をかわす: bot 分類ツールによる検出の回避

CAPTCHACompletely Automated Public Turing test to tell Computers and Humans Apart)は、bot や自動アクティビティによるウェブフォームやホストされたリソースへのアクセスとその操作を防ぐために開発されました。Google reCAPTCHA CloudFlare Turnstile などの CAPTCHA 技術の実装は、人間のユーザーがウェブサイトにアクセスし、フォームやウェブページ上のその他の要素(HTML ボタンなど)を操作できるようにしながら、bot による望ましくないアクティビティを除外するためのセキュリティ対策として使用されています。従来、CAPTCHA のセキュリティ チャレンジでは、ユーザーが画像によるパズルや簡単な対話型タスクを実行する必要がありました。最近の実装では、パッシブなスコアベースの検出を実行し、動作特性に基づいて bot のアクティビティを識別します。

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig8.max-1400x1400.png

図 8: reCAPTCHA の進化

CAPTCHA 技術は悪意のあるアクティビティの問題への対処を目的としていますが、悪意のあるインフラストラクチャとペイロードのセキュリティ ツールによる検出とスキャンを回避するために脅威アクターによって悪用されてきました(MITRE ATT&CK T1633.001)。たとえば、脅威アクターは、通常は URL に悪意があるかどうかを判別するためにメール セキュリティ技術によって実行される動的なアクセスおよびデトネーション アクションを防ぐために、無料の CAPTCHA サービスを使用していることが確認されています。これにより、脅威アクターは、プログラムによるアクティビティや cURL などのデータ転送ツールの使用を除外しながら、人間のユーザーにフィッシング ページにアクセスさせることができます(図 9)。

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig9.max-1800x1800.png

図 9: CAPTCHA の被害者フロー

Mandiant は、Google サイトのサービスを悪用して CAPTCHA チャレンジをホストし、ユーザーを ZIP アーカイブのダウンロードにリダイレクトする UNC5296 2024 1 月から追跡してきました。ZIP アーカイブには、金融機関からの PDF ファイルを装った悪意のある LNK ファイルが含まれており、それを実行すると、AZORULT DANCEFLOOR のいずれかがデプロイされます。また、Mandiant 2020 6 月のフィッシング キャンペーンの中で、CAPTCHA チャレンジを使用して FRIENDSPEAK ダウンローダと MIXLABEL バックドアを配信する FIN11 を特定しました。

bot 分類ツールを悪用した攻撃に対する防御

CAPTCHA ツールはインターネット上で広く正当な目的で使用されているため、悪意のある目的で使用されていることを検出するのは困難です。CAPTCHA ウィジェットは、対応する JavaScript リソースと、CAPTCHA チャレンジを登録したユーザーに関連付けられた一意のサイトキーを参照する数行の HTML を使用して、ウェブサイト内に簡単に実装できます。

<html>
    <head>
    <title>reCAPTCHA Test</title>
        <script 
src="https://www.google.com/recaptcha/api.js"></script>
        <script>
        function passRedirect() {
           window.location.href = 
"https://www.youtube.com/watch?v=dQw4w9WgXcQ";
        }
        </script>
    <div class="g-recaptcha" data-sitekey="<removed>" 
data-callback="passRedirect"></div>
</html>

CAPTCHA チャレンジが中間ウェブページ内に実装されている場合、防御者は CAPTCHA JavaScript API ファイルに対するネットワーク リクエストを検出や強化に利用できる可能性があります。

 

CAPTCHA 技術

ネットワーク リクエスト

検出戦略

reCAPTCHA v2

00:00:00 - screening website accessed

00:00:00 - www.google.com/recaptcha/api.js

00:00:00 -  www.gstatic.com/recaptcha/releases/vjbW55W42X033PfTdVf6Ft4q/recaptcha__en.js

00:00:20 - www.google.com/recaptcha/api2/anchor?ar=1&k=<unique reCAPTCHA sitekey>&co=<snip>

00:00:52 - redirection to website after passing CAPTCHA

www.google.com および www.gstatic.com へのリクエストから 1 秒以内に発生する疑わしいプロキシ イベントやファイアウォール イベントを探し、TLS 復号が利用可能な場合は URI に基づいてさらに絞り込みます。前のシーケンスから 1 分以内に発生したリダイレクト ドメインの疑わしいプロキシ イベントやファイアウォール イベントが含まれる可能性があります。

CloudFlare Turnstile

00:00:00 - screening website accessed

00:00:00 - challenges.cloudflare.com/turnstile/v0/api.js

00:00:20 - redirection to website after passing CAPTCHA

challenges.cloudflare.com へのリクエストから 1 秒以内に発生する疑わしいプロキシ イベントやファイアウォール イベントを探します。

2: CAPTCHA テレメトリ分析のシミュレーション

広告を悪用: 抜け穴の発見と利益につながる情報の窃取

実務的には、マーケティング担当者が広告キャンペーンを実行する際に考慮すべき可変要素が数多くあります。これには、広告自体のコンテンツ(テキスト、動画、画像など)、対象者のユーザー属性、広告が表示される位置情報と時間帯などが含まれます。多くの場合、新しい広告キャンペーンを開始するには、マーケティング担当者が実験と改良を重ね、宣伝しようとしている製品やサービスに最適な広告の「方式」を見つける必要があります。

デジタル広告の改良プロセスを有利に進めるために、マーケティング担当者は競合情報ツールを使用して競合他社がどのような広告を掲載しているかを確認できます。ツールに応じて、競合他社の広告に関連付けられたキーワード、広告が表示されたウェブサイトやアプリケーション、広告に関連付けられたメディアタイプ(動画、テキスト、画像など)、ユーザーが広告をクリックした後に表示されたランディング ページなど、広告に関する数多くの注目すべき分析情報をマーケティング担当者が確認できます。この目的で使用される、より有名で堅牢なツールの一つが AdBeat であり、Google Meta にもリポジトリがあります。これらの検索エンジン マーケティング(SEM)ツールは、悪意のある広告キャンペーンや疑わしい広告キャンペーン(MITRE ATT&CK 手法 T1583.008)を仕掛けようとする脅威アクターに分析情報を提供してしまう可能性があります。これらの情報には、広告の位置情報 Google 広告のポリシーをすり抜けるための効果的なキーワードの使用法(図 10 と図 11)が含まれます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig10.max-600x600.png

図 10: 位置情報に関する競合情報ツールの機能(blackhatworld.com フォーラムで言及

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig11.max-600x600.png

図 11: キーワードの絞り込みに役立つ競合情報ツールの推奨事項(blackhatworld.com フォーラムで言及

マルバタイジングの被害者フローの構築

脅威アクターが競合情報ツールをどのように使用できるかを説明するために、Google 広告の脅威研究者が調査して対処した実際のキャンペーンに基づき、マルバタイジング キャンペーンの計画、ステージング、実行に関わる手順を考察します。図 12 は、脅威アクターがマルバタイジング キャンペーンの作成に使用できるプロセスの例です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig12.max-1800x1800.png

図 12: マルバタイジング キャンペーンを仕掛ける手順

効果の高い広告をコピーする - 広告主が確認できる情報

マルバタイジング キャンペーンを開始しようとする攻撃者の多くは、正当なマーケティング担当者と同様に、まずは最も多くの潜在的な被害者(マーケティング担当者の場合は潜在顧客)を引き付ける広告キーワードを特定します。脅威アクターは、一部の検索エンジン マーケティング ツールで利用可能なキーワード調査機能を使用することで、特定のキーワードに関連する広告に過去に反応したユーザーの数を確認できます。

たとえば、ある競合情報ツール内で入手可能なデータによると、2024 6 月には、複数のドメインのキーワード「advanced ip scanner」に関連付けられた関連性の高い広告から、推定 220,000 回のクリックが行われました。これらのドメインには、2024 6 月には関連トラフィックがなかったものの、同じキーワードに関連付けられてきた「ktgotit[.]com」と「advanced-ip-scanner[.]com」の 2 つが含まれています。このデータをドメイン ktgotit[.]com の過去の広告と関連付けると、次の広告が攻撃者による模倣の可能性があると特定されました*

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig13a.max-700x700.png

図 13: 広告の抜粋、ktgotit[.]com

* 競合情報ツールの一つを使用すると、ktgotit[.]com に関連付けられた SEM データにより、図 13 の広告から 7,000 ドル弱のコストで推定 3,000 回のアクセスが行われた可能性があることが示されます。

通常、悪意のある広告主は、悪意のある広告コンテンツを作成するために以下を含むいくつかの手法を使用します。

  • キーワード フラグを回避するために、広告テキストで正当なブランドに言及することを意識的に避ける

  • 模倣しようとしている元の製品、サービス、ブランドとは関係のないドメイン名でランディング ページを作成する

  • 架空の e コマース ブランドの「偽サイト」を作成する

  • クローキングされたページを使用する(悪意のあるアクティビティを隠蔽するために、接続元チェック、デバイスのプロファイリング、最初のランディングページ URL と最終宛先間のページ リダイレクトを組み合わせて使用する手法)

他のマルバタイジング キャンペーンが、公式または正当なウェブサイトのスペルミスや、まったく関係のないウェブドメインを使用してモデレーション フィルタを通過しているかどうかに関する追加の分析情報も、攻撃者にとって役立つ可能性があります。攻撃者は、広告がクリックされた直後にユーザーに表示されるもっともらしいランディング ページを作成し、ユーザーを被害者フローにさらに誘導するために、この情報を利用できます。

過去のフローを再現

攻撃者は、競合情報ツールから収集した戦略的分析情報を利用して、以前に ktgotit[.]com のマルバタイジング キャンペーンで使用された被害者フローを再現することが、悪意のある広告を多数の潜在的な被害者に対して手頃なコストで表示するうえで効果的な戦略であることを確認した結果、以下の実行を決定する可能性があります。

  • ランディング ページとペイロード用の所有ドメインを購入して構成する(細かい点はプラットフォーム依存です)

  • ランディング ページを生成してホストする(競合情報ツールによってはこれがサービスに統合されています)

  • クローキング ページのリダイレクトやホストされた配信ペイロードを構成する(該当する場合)

  • キーワードの広告スペースを購入し、広告を掲載する(これもプラットフォーム依存です)

この時点で、攻撃者は分析トラフィックを監視して被害者を待つだけです。

エピローグ: ktgotit の保護に成功

ユーザーを ktgotit[.]com に誘導する広告(図 13)の場合、マルウェア作成者は e コマースの「おとり」ページを使用し、クローキングによって従来の自動分析手法をすり抜け、悪意のあるコンテンツを提供する最終リンク先 URL を隠しました。しかし、(ロミュラン人にとっては嘆かわしいことですが)クローキング メカニズムでさえ打ち破ることは可能であり、ktgotit[.]com の場合、Google の脅威研究者はページの最終リンク先 URL hxxps://aadvanced-ip-scanner[.]com であると特定できました。

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig14a.max-1800x1800.png

図 14: 広告にリンクされたランディング ページ、ktgotit[.]com

https://storage.googleapis.com/gweb-cloudblog-publish/images/weaponize-digital-analytics-tools-fig15a.max-1800x1800.png

図 15: 接続が ktgotit[.]com での検証チェックを通過した場合にのみ表示される再作成されたおとりページ

このシナリオでは、図 15 [無料ダウンロード] リンクをクリックすると、URLhxxps://britanniaeat[.]com/wp-includes/Advanced_IP_Scanner_v.3.5.2.1.zip」から「Advanced_IP_Scanner_v.3.5.2.1.zip」(MD5:5310d6b73d19592860e81e4e3a5459eb」)という名前の悪意のあるアーカイブ ファイルがダウンロードされます。

広告攻撃に対する防御

広告ネットワークは、不正行為の新たな戦術に迅速に対応することを目指す必要があります。ある脅威アクターが発見した悪用の手法は、すぐに広く知れ渡ります。

企業にとってのシンプルでプロアクティブな解決策としては、環境で現在使用されている既定のブラウザで、日常的なブラウジングに対するセキュリティ設定の強化を検討することが挙げられます。最新のブラウザの多くは、デフォルトで有効になっている自動保護対策に関して、ユーザビリティとセキュリティのバランスを最適化することを目指しています(Google セーフ ブラウジングも同様)。一部のエンタープライズ環境では、全体的なユーザー エクスペリエンスに大きな影響を及ぼすことなく、これらの対策をデフォルト レベルよりも強化できます。

個々のユーザーは、広告や広告内のリンクをクリックする際に、リンク先のウェブサイト アドレス(URL)が広告内の企業や製品と一致しており、誤字脱字を含まないことを確認する必要があります。この確認は、URL バーが隠れている可能性があるスマートフォンでは特に重要です。図 13 の例では、広告の URL は「ktgotit[.]com」であり、ランディング ページのコンテンツは広告に表示されているドメイン(ktgotit)と一致していました。しかし、この無害なランディング ページには、異なるメーカーと提携していると称する関連性の薄い製品の詳細が疑わしい形式で表示されていました。一方、(クローキング メカニズムによって保護された)悪意のあるページのコンテンツには、広告(図 13)に表示されているものと一致するドメインが含まれていませんでした。

また、ユーザーは、ウェブ広告に表示されていたドメインからファイルをダウンロードする前に、URL を再確認することをおすすめします。Mandiant の「不正広告を打ち砕く: バックドアを配信するマルバタイジング キャンペーンの検出と阻止」に記載されているように、ダウンロードしたファイルが「財務省」の未還付金に関連すると信じ込まされたユーザーがいました。

Google では、ポリシーに違反しているか、ユーザーに害を及ぼす可能性があると思われる広告があれば、必要に応じてレビューし、対処できるよう、それらを報告することをユーザーに推奨しています。こちらの記事には、広告の報告方法に関する追加のガイダンスが記載されています。

セキュリティ侵害インジケーター

ファイル名

MD5

説明

Advanced_IP_Scanner_v.3.5.2.1.zip

5310d6b73d19592860e81e4e3a5459eb

悪意のあるアーカイブ ファイル

 

URL

IP アドレス

説明

hxxps://ktgotit[.]com

172.67.216[.]166

Cloudflare ネットブロック)

マルバタイジングのランディング ページ

hxxps://aadvanced-ip-scanner[.]com

82.221.136[.]1

クローキングされたおとりページ

hxxps://britanniaeat[.]com/wp-includes/Advanced_IP_Scanner_v.3.5.2.1.zip

3.11.24[.]22

Amazon ネットブロック)

マルウェアのダウンロード URL

 

まとめ

クリックするたびにその痕跡が残るデジタル世界では、マーケティングのユーザー属性に関するデータ分析ツールと、マルウェア攻撃キャンペーンの最適化の間の境界が危険なほど曖昧になっています。正当なツールの機能が増加すれば、それを不正な目的で使用する脅威アクターができることも増加します。ただし、このブログ投稿を通じてご紹介した実際の例で示されているように、攻撃者がこれらのツールをどのように利用するかを明示し、防御側がその影響を軽減または排除するための措置を積極的に講じるための分析情報を提供することで、攻撃者に対する実行可能で効果的な防御を敷くことが可能になります。

ご協力いただいた方々

デジタル マーケティング ツールに関する専門知識をご提供いただいた Joseph Flattery 氏に、Adrian McCabe から感謝の意を表します。

著者一同、関連する脅威インジケーターを深く考察していただいた Mandiant Advanced Practices に感謝いたします。

Mandiant、Adrian McCabe、Ryan Tomcik、Stephen Clement

投稿先