BattleRoyalの複数の作戦

BattleRoyalは、脅威アクターです。
この脅威アクターの活動が活発化しています。
短い期間で考えると、特定の脅威アクターが使用する作戦は1つである場合が良くあるのですが、BattleRoyalは複数の作戦を短い期間に展開している動きとなっています。

• TDSを使用したキャンペーン
  TDSはトラフィック配信システムです。
  従来から、TDSはエクスプロイトキットの実行チェーンに不可欠な要素として悪用されてきました。
  攻撃に気づいていないユーザーを正規のサイトでない「ランディングページ」にリダイレクトした上で、コンピューターのフィンガープリントを取得し、可能であればエクスプロイトを展開するために使用されます。
  従来はエクスプロイトキットの一部としてダークウェブで販売されることが多かったのですが、状況の変化で、TDS部分を主体とした商品としてダークウェブで宣伝されるような状況になっています。
  いくつもあるTDSのなかから、この脅威アクターは404 TDSとKeitaro TDSを使用していることが確認されています。
  フィッシングメールから開始し、TDSのURLファイルをユーザがクリックすると攻撃チェーンが開始され、最終的にマルウェアが環境に設置されることとなります。
  攻撃チェーンの概要は、こうです。
  電子メール > 404 TDS > Keitaro TDS > .URL > .VBS > シェル コマンド > AutoIT/AutoITスクリプト > DarkGate
• RogueRaticateを使用したキャンペーン
  これは、偽のブラウザ更新キャンペーンです。
  侵害したWebサイトのCSSファイルのなかに悪意あるコードを埋め込みます。
  使用する手法はステガノグラフィです。
  そして稼働を開始した悪意あるコードはユーザを偽のブラウザ更新のサイトに誘い込みます。
  あとはURLファイルにつながり、マルウェアの設置となる流れです。
  後半の流れは、先ほどのパターンと同じです。
  攻撃チェーンの概要は、こうです。
  Web侵害でCSS設置 > CSS読み込み > 更新ボタンクリック > .URL > .VBS > シェル コマンド > AutoIT/AutoITスクリプト > DarkGate
• DarkGateの代わりにNetSupportを使ったキャンペーン
  さらに、別の作戦も確認されています。
  攻撃チェーンの最後の部分で利用されるツールが変更された格好になっています。
  DarkGateはMalware-as-a-Serviceで展開される、それ自体がマルウェアです。
  一方、NetSupportは正規のリモートアクセスツールで、これを悪意ある活動に利用するというものです。
  URLファイルの利用が2段階になっている点も、前述の作戦と異なる部分です。
  攻撃チェーンの概要は、こうです。
  電子メール > URLのクリック > Keitaro TDS > .URL > .URL > NetSupport

BattleRoyalは複数の攻撃チェーンを使います。
脅威アクターが選択することのできるツールはどんどん増えています。
それらのツールの数は多くありますので、組み合わせを考えると攻撃パターンは無限なのかもしれません。

しかしその一方、攻撃チェーンの中に、人にクリックさせる部分が残っているケースも少なくありません。
脅威の被害者になってしまうのかそうでないのか、利用者自身の動きに依存している部分があると認識しておかないとならないと感じます。

次のほぼこもは1月です。
また来年お会いしましょう。

参考記事（外部リンク）：BattleRoyal, DarkGate Cluster Spreads via Email and Fake
Browser Updates
www.proofpoint.com/us/blog/threat-insight/battleroyal-darkgate-cluster-spreads-email-and-fake-browser-updates