アフィリエイトを炙り出す: SmokedHam、Qilin、いくつかのGoogle広告とボスウェア
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Orange Cyberdefenseは、2026年初頭にランサムウェア・アフィリエイトが、正規のユーティリティソフトウェアに偽装した悪意のある広告を通じて、SmokedHamバックドアを配布したと報告しました。確認された少なくとも1つの侵入では、そのバックドアは後にQilinランサムウェアを配信するために使用されました。研究者は、この活動を以前DarkSide、LockBit、およびHunters Internationalのオペレーションに関連付けられていたロシア語話者のアフィリエイトUNC2465に中程度の信頼性で帰属させました。
調査
この調査では、2025年および2026年に収集された30以上のSmokedHamサンプルをレビューし、Cloudflare Workersを使用したドメイン尊主化とAWSホスティングインフラストラクチャを組み合わせたマルバタイジングドメインを特定しました。アナリストはまた、PuTTYやTotal Commanderのような正規のツールの悪用を記録し、悪質な活動を通常の管理業務に馴染ませるために使われたとしています。報告書では、UNC2465との戦術的な重なる活動についても強調されていました。
緩和策
防御者は既知のマルバタイジングドメインをブロックし、RVToolsやRemote Desktop Managerのようなツールのアプリケーション許可リストを施行し、正規の管理用ユーティリティの異常な使用を監視するべきです。エンドポイント検出のカバレッジを強化して、SmokedHamバックドアの挙動や関連する侵害後の活動を識別する必要があります。クラウドベースの脅威インテリジェンスフィードを使用することで、検出と拡充の取り組みをさらに改善することができます。
対応
疑わしい活動が確認された場合は、影響を受けたホストを直ちに隔離し、フォレンジックアーティファクトを収集して、SmokedHamおよびQilinに関連する指標を検索します。調査者はまた、資格情報の盗難やランサムウェアの暗号化がすでに発生しているかどうかを判断する必要があります。関連インフラストラクチャ全体でのより広範な脅威ハンティングと、確立されたランサムウェアインシデント対応手順のアクティベーションが推奨されます。
攻撃フロー
検出
可能性のある持続ポイント [ASEPs – ソフトウェア/NTUSER Hive] (registry_event経由)
表示
侵入またはエクスフィルトレーションのためのデータ圧縮の可能性 (cmdline経由)
表示
疑わしいGPG実行 (cmdline経由)
表示
疑わしいPowershell文字列 (powershell経由)
表示
Powershellから呼び出された疑わしい.NETメソッド (powershell経由)
表示
可能性のあるPublicnode Ethereum悪用試行、C2チャネルとして (dns_query経由)
表示
第三者サービス/ツールを経由したデータ侵入/避難所/コマンド・コントロールの可能性 (proxy経由)
表示
第三者サービス/ツールを経由したデータ侵入/避難所/コマンド・コントロールの可能性 (dns経由)
表示