アフィリエイトを炙り出す: SmokedHam、Qilin、いくつかのGoogle広告とボスウェア

graph TB classDef action fill:#99ccff classDef malware fill:#ff6666 classDef tool fill:#cccccc classDef service fill:#ffd966 classDef impact fill:#ff9999 action_initial[“<b>アクション</b> – <b>T1659 コンテンツインジェクション（マルバタイジング）</b><br/>RVTools/Remote Desktop Managerを装った悪意のあるインストーラ”] class action_initial action action_user_exec[“<b>アクション</b> – <b>T1204 ユーザー実行</b><br/>被害者が偽装されたインストーラを実行する”] class action_user_exec action malware_smokedham[“<b>マルウェア</b> – <b>T1127 信頼された開発者ユーティリティのプロキシ実行</b><br/>バックドア SmokedHam がインストールされる”] class malware_smokedham malware action_embedded_payload[“<b>アクション</b> – <b>T1027.009 埋め込みペイロード</b><br/>SmokedHam ペイロードは正規ユーティリティ内に難読化されている”] class action_embedded_payload action action_polymorphic[“<b>アクション</b> – <b>T1027.014 ポリモーフィックコード</b><br/>バリアントはパッキングとコード変異を使用する”] class action_polymorphic action action_rat[“<b>アクション</b> – <b>T1219 リモートアクセスツール</b><br/>SmokedHam は正規ツールを使用して C2 を確立する”] class action_rat action tool_putty[“<b>ツール</b> – <b>PuTTY</b><br/>C2 に使用される SSH クライアント”] class tool_putty tool tool_kitty[“<b>ツール</b> – <b>KiTTY</b><br/>SSH クライアントの派生版”] class tool_kitty tool tool_zoho[“<b>ツール</b> – <b>Zoho Assist</b><br/>C2 に使用されるリモートサポートツール”] class tool_zoho tool action_c2_comm[“<b>アクション</b> – <b>T1102.001/002/003 通信</b><br/>Cloudflare Workers と AWS を介した C2”] class action_c2_comm action service_cloudflare[“<b>サービス</b> – <b>Cloudflare Workers</b>”] class service_cloudflare service service_aws[“<b>サービス</b> – <b>AWS</b>”] class service_aws service action_tunnel[“<b>アクション</b> – <b>T1572 プロトコルトンネリング</b><br/>正規サービスを介してトラフィックをトンネリングする”] class action_tunnel action action_ssh_hijack[“<b>アクション</b> – <b>T1563.001 リモートサービスセッションハイジャック（SSH）</b><br/>盗まれた資格情報によるハイジャック”] class action_ssh_hijack action action_rdp_hijack[“<b>アクション</b> – <b>T1563.002 リモートサービスセッションハイジャック（RDP）</b><br/>RDP セッションのハイジャック”] class action_rdp_hijack action action_exploit_remote[“<b>アクション</b> – <b>T1210 リモートサービスの悪用</b><br/>内部ホストへのラテラルムーブメント”] class action_exploit_remote action action_input_capture[“<b>アクション</b> – <b>T1056.003 入力キャプチャ</b><br/>Web ポータルの資格情報を取得する”] class action_input_capture action action_account_manip[“<b>アクション</b> – <b>T1098.004 アカウント操作</b><br/>永続化のため SSH 承認キーが追加される”] class action_account_manip action malware_qilin[“<b>マルウェア</b> – <b>Qilin ランサムウェア</b><br/>被害者データを暗号化する”] class malware_qilin impact action_initial –>|leads_to| action_user_exec action_user_exec –>|leads_to| malware_smokedham malware_smokedham –>|leads_to| action_embedded_payload action_embedded_payload –>|leads_to| action_polymorphic action_polymorphic –>|leads_to| action_rat action_rat –>|uses| tool_putty action_rat –>|uses| tool_kitty action_rat –>|uses| tool_zoho action_rat –>|communicates via| action_c2_comm action_c2_comm –>|uses| service_cloudflare action_c2_comm –>|uses| service_aws action_c2_comm –>|enables| action_tunnel action_tunnel –>|enables| action_ssh_hijack action_ssh_hijack –>|enables| action_rdp_hijack action_rdp_hijack –>|enables| action_exploit_remote action_exploit_remote –>|enables| action_input_capture action_input_capture –>|enables| action_account_manip action_account_manip –>|enables| malware_qilin

攻撃フロー