SOC Prime Bias:

17 Apr 2026 14:27 UTC

アフィリエイトを炙り出す: SmokedHam、Qilin、いくつかのGoogle広告とボスウェア

Author Photo
SOC Prime Team linkedin icon フォローする
アフィリエイトを炙り出す: SmokedHam、Qilin、いくつかのGoogle広告とボスウェア
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

Orange Cyberdefenseは、2026年初頭にランサムウェア・アフィリエイトが、正規のユーティリティソフトウェアに偽装した悪意のある広告を通じて、SmokedHamバックドアを配布したと報告しました。確認された少なくとも1つの侵入では、そのバックドアは後にQilinランサムウェアを配信するために使用されました。研究者は、この活動を以前DarkSide、LockBit、およびHunters Internationalのオペレーションに関連付けられていたロシア語話者のアフィリエイトUNC2465に中程度の信頼性で帰属させました。

調査

この調査では、2025年および2026年に収集された30以上のSmokedHamサンプルをレビューし、Cloudflare Workersを使用したドメイン尊主化とAWSホスティングインフラストラクチャを組み合わせたマルバタイジングドメインを特定しました。アナリストはまた、PuTTYやTotal Commanderのような正規のツールの悪用を記録し、悪質な活動を通常の管理業務に馴染ませるために使われたとしています。報告書では、UNC2465との戦術的な重なる活動についても強調されていました。

緩和策

防御者は既知のマルバタイジングドメインをブロックし、RVToolsやRemote Desktop Managerのようなツールのアプリケーション許可リストを施行し、正規の管理用ユーティリティの異常な使用を監視するべきです。エンドポイント検出のカバレッジを強化して、SmokedHamバックドアの挙動や関連する侵害後の活動を識別する必要があります。クラウドベースの脅威インテリジェンスフィードを使用することで、検出と拡充の取り組みをさらに改善することができます。

対応

疑わしい活動が確認された場合は、影響を受けたホストを直ちに隔離し、フォレンジックアーティファクトを収集して、SmokedHamおよびQilinに関連する指標を検索します。調査者はまた、資格情報の盗難やランサムウェアの暗号化がすでに発生しているかどうかを判断する必要があります。関連インフラストラクチャ全体でのより広範な脅威ハンティングと、確立されたランサムウェアインシデント対応手順のアクティベーションが推奨されます。

攻撃フロー

シミュレーション

この部分はまだ更新中です。通知を受け取るにはサインアップしてください

登録して通知を受ける