AdGholasマルバタイジング – 誰も疑わない大手事業者Webサイト上のFlash広告を利用した、高度な攻撃手法

最大の悪意のある攻撃はめったに聞こえないものです。 ProofpointによってAdGholasとして特定されたグループは、近年における歴史上最も見えにくい攻撃に関わっており、今日Esetによって捕捉され、公開されています。 Proofpoint公開後のAdGholasの活動の最後のビットは、今年の7月20日でした。 しかし、我々のテレメトリーによれば、2ヵ月後には、これまでに報告されている最大の悪意のある攻撃の一部でグループが戻ってきました。

このポストは、このキャンペーンに関する追加の背景情報を提供するつもりです。 技術的な詳細については、ESETの同僚が行った偉大な研究をご覧ください。

AdGholas – Hiding in Plain Sight Kafeine (Proofpoint)

概要

悪党どもは、再び悪意のある広告を配布するための見せ掛けを使用していました。 彼らは、ブラウザの保護(ペアレンタル・ロック用)を目的としたウェブサイトを作成し、Chromeストアへ繋がっているGoogle Chrome拡張機能も提供しました。 この偽装の下で、彼らはいくつかの層の指紋を含むSSLを介して悪質なコードを送信していました。

flow

セキュリティ研究者やサンドボックスを回避するために設計されたフィンガープリンティングイベントを見てみると、Proofpointが提供するYara署名のおかげで、すぐにこの攻撃がAdGholasに接続されました。

procmon2

最初のレベルのフィンガープリンティングチェックに続いて、SSLとtinyURLサービスによるリダイレクトが、これまで見たことのないランディングページを持つカスタムエクスプロイトキットに見えました。

landing

ESETの出版直後に、これがAstrumのエクスプロイトキットであることがわかりました。 次のフラッシュファイル(よくエンコードされている)は、最終的なペイロードを配信する前にもう一度フィンガープリンティングを実行するように見えました。

morefingerprinting

AdGholasがRIG EKまたは他の一般的なものの代わりにAstrum EKを使用していた理由について結論を出すかもしれません。 おそらく、脅威のアクターたちは、アングラーEKのような前任者と比較して、弱点が弱すぎると見なします。 また、AdGholasのようなハイ・インパクト攻撃のためにAstrum EKのような特別な武器を使用するだけでは大きな意味があります。

timeline

悪意のある攻撃に関与したブラウザ防御の最初の記録は9月5日です。 当時、この攻撃はSmartyAdsネットワークを介して伝播されました:

b.admedia.com/banners/gbanner.php?d=1&aff=79154&size=300×250&subid=&pageUrl={redacted}
-> 88.214.235.32/?t=win&bwpr=0.45&uniq={redacted}-US_EAST&u=url
-> browser-defence.com/ads/f/ad.html

10月に、AdGholasの最初のインスタンスがYahooの広告ネットワークを経由して悪質な広告を配信しました。 これはYahooのメールインターフェイスで配信されました(ユーザーにメールをチェックすると不正な広告が表示されます)。

browser-defence.com/ads/a/index.html?w=180&h=150&clk=https://na.ads.yahoo.com/yax/clk?{redacted}

実際に住宅のIPアドレスから悪意のあるチェーンを再現できるようになりました。これは、トラフィックを透過的にキャプチャするだけの監視ツールを備えたマシンで実現しました。 それまでは、何かが起こっているという非常に強い疑念しか持ちませんでしたが、ネットワークのキャプチャがなければ、肯定的な主張をするのに必要な「スモーキングガン」を持っていなかっただけです。 不正行為の兆候(11月27日)があるとすぐに、私たちはヤフーに発見を知らせました。

Yahooに報告したわずか数日後(11/30)に、AdGholasがまったく同じサーバー上の別のドメイン(broxu [] com)に全く同じトリックで使用されていることがわかりました。

参照:

https://www.proofpoint.com/us/threat-insight/post/massive-adgholas-malvertising-campaigns-use-steganography-and-file-whitelisting-to-hide-in-plain-sight

https://blog.malwarebytes.com/cybercrime/exploits/2016/12/adgholas-malvertising-business-as-usual/