SocGholish マルウェアの脅威:武器化された ZIP を侵害済みの Web サイトからドロップ

SocGholish Malware Dropped from Hacked Web Pages using Weaponized ZIP Files

2025/02/14 gbhackers — SocGholish マルウェア・フレームワークによる一連のサイバー攻撃では、正規のブラウザ更新を装う悪意の ZIP ファイルを配信するために、すでに侵害された Web サイトが悪用されていることが判明している。

このキャンペーンは、遅くとも 2017年から展開されており、信頼できる Web サイトに悪意の JavaScript を埋め込むことで、疑いを持たないユーザーを騙し続けている。

これらのサイトは、重要なソフトウェア更新を装うことで、ユーザーにマルウェアのダウンロードを促すよう武器化されており、Google などのオーガニック検索結果 (広告以外) に表示されることが多いという。

一般的に、SocGholish による感染は、侵害された Web サイトに被害者がアクセスしたときに始まる。

SocGholish Malware
An illustration of the steps that lead to a SocGholish infection.

悪意の Web サイトに埋め込まれた JavaScript は、訪問者のプロファイルを作成し、OS やブラウザの種類などの要素を評価する。そして、ターゲットが特定の基準を満たしている場合に、偽のブラウザ更新プロンプトを訪問者に対して表示する。

それらの悪意のペイロードは、圧縮された ZIP ファイルで配信されることが多く、難読化された JavaScript により感染チェーンを開始するように設計されている。この手口は、ソーシャル・エンジニアリングに大きく依存するものであり、侵害した Web サイトの信頼性を悪用してユーザーを騙し、表示する更新が正規のものだと信じ込ませる。

武器化された ZIP ファイル

このマルウェアの感染チェーンは、従来からのセキュリティ対策を回避するように設計されている。悪意の ZIP ファイルがダウンロードされ実行された後に、RAT (Remote Access Trojans)/Ransomware/Cobalt Strike などの、ポスト・エクスプロイト・ツールを取り込んだ追加のペイロードがデプロイされる。

Intel471 によると、これらのペイロードを操る攻撃者は、機密データの窃取/権限の昇格/ネットワーク内での横移動を可能にするという。

SocGholish はドメイン・シャドウイングを採用している。正当なドメインを侵害した後に、サブドメインを作成して悪意のコンテンツをホストすることで、検出を回避している。さらに、次段階のペイロード配信のためにステージング・サーバを使用し、データ転送を暗号化してセキュリティ・アラートのトリガーを防いでいる。

このモジュール式のアプローチを実施する攻撃者は、キャンペーンを動的に適応させ、感染させたシステム内での持続性を確保し続ける。

SocGholish の属性についてだが、Dridex のようなバンキング・トロイの木馬やランサムウェアを展開してきた、Evil Corp (別名 Mustard Tempest/TA569) などの著名な脅威アクター・グループと関連付けられている。つまり SocGholish は、これらのグループにおけるイニシャル・アクセス・ベクターとして機能し、データの盗難や身代金要求を通じて、収益を得てきたとされる。

SocGholish キャンペーンの規模は大きく、たとえば 2024 年後半の1件のキャンペーンでは、1週間だけで 150万件を超えるインタラクションを発生させている。このような広範囲にわたる活動が浮き彫りにするのは、サイバー犯罪者の活動が巧妙化し、信頼できるデジタル・エコシステムを、悪用する能力を高めている状況である。

緩和のための戦略

SocGholish 攻撃に対抗する組織は、プロアクティブなサイバー・セキュリティ対策を採用する必要がある。

  • ユーザーの意識向上:偽の更新プロンプトのリスクについてユーザーを教育し、予期しないダウンロード要求に対して懐疑的になるよう促す。
  • エンドポイント セキュリティ: 異常なスケジュール・タスクや難読化されたスクリプトといった、疑わしいアクティビティを識別するための、高度な EDR (Endpoint Detection and Response) ソリューションを導入する。
  • Web セキュリティ:ドメイン・シャドウイングを防止するために、Web サイトの脆弱性や不正な変更を定期的に監査する。
  • 脅威ハンティング:HUNTER471 などのツールやプラットフォームを活用して、SocGholish 感染を示す異常を検出する。

SocGholish は、進化を続けている。その手口として、ソーシャル・エンジニアリングと高度な回避を採用している。したがって、すべてのデジタル・タッチポイントにおいて、堅牢なサイバー・セキュリティ防御と警戒が重要であることが理解できる。

2017年頃から始まり、2025年になった今も続いている、SocGholish マルウェア・キャンペーンのはなしです。このマルウェアの手口は、日常的に利用する Web サイトを介して感染を広げるという巧妙なものです。正規のドメインからのものであっても、怪しい更新通知には、十分にご注意ください。よろしければ、カテゴリ Malware も、ご参照下さい。