Source:https://thehackernews.com/2025/11/tamperedchef-malware-spreads-via-fake.html
🛡 概要
「TamperedChef」は、正規ソフトに見せかけた偽インストーラを使い、マルバタイジング(悪性広告)やSEO汚染でユーザーを誘導して感染させるグローバルなキャンペーンです。Acronis Threat Research Unit(TRU)の分析によれば、運用インフラは現在も活動中で、コード署名証明書を次々と取得・更新しながら配布を継続しています。本稿では、攻撃手口、技術的特徴、検知と対策、MITRE ATT&CK対応、組織規模別の現場助言を整理します。CVSSは該当なし(脆弱性個別ではなくキャンペーン型)。
🔍 技術詳細
攻撃は、ユーザーがBingなどでPDFエディタや製品マニュアルを検索した際に、悪性広告や毒入り検索結果へ誘導するところから始まります。被害者はNamecheapで登録されたドメイン上の偽サイトから、正規アプリを装ったインストーラをダウンロードします。インストーラは利用規約への同意や完了メッセージ表示など、正規さを模したUIを持ちますが、裏側ではXMLファイルを投下し、Windowsのスケジュールタスクを登録して永続化します。登録タスクは難読化されたJavaScriptバックドア(Windows Script Host経由で実行されることが多い)を起動し、外部C2へHTTPSで接続、セッションIDやマシンIDなどの基本メタデータをJSON形式で暗号化し、Base64エンコードして送信します。正規性を偽装するため、米国・パナマ・マレーシアのシェルカンパニー名義で発行されたコード署名証明書でファイルに署名し、失効のたびに新証明書へローテーションします。この工場的(industrialized)なインフラ運用により、検知回避と継続的な拡散が可能になっています。AcronisはこのファミリをTamperedChefと呼称していますが、他ベンダーではBaoLoaderとする例もあり、同名称で言及される別件(EvilAI配布アプリ内蔵の旧TamperedChef)とは区別されます。観測上、米国で感染が多く、イスラエル、スペイン、ドイツ、インド、アイルランドにも散見。医療・建設・製造など、専門機器のマニュアル検索が多い業種で被害が目立ちます。最終目的は例によって変化し、広告詐欺による収益化、アクセスの再販、情報窃取の地下売買などが示唆されていますが、キャンペーン全体としては汎用的な遠隔操作・持続的アクセス基盤の確立が主眼と見られます。
⚠ 影響
- 端末への持続化(Scheduled Tasks)により、再起動後もバックドアが活動
- 端末識別子や環境情報の外送。後続のペイロード配信や横展開の足がかり
- 広告詐欺・情報窃取・追加マルウェア(情報スティーラー等)配布のリスク
- 署名付き実行ファイルを悪用するため、ユーザーや一部製品での信頼判定が揺らぐ
🛠 対策
- アプリの許可制(AppLocker/WDAC)で不許可のインストーラ実行を阻止。ユーザーによる任意インストールを原則禁止(最小権限)
- WSH(wscript.exe/cscript.exe)の業務利用を見直し、不要なら実行を制限。ASRルールやSRPでスクリプト実行を厳格化
- 新規/若齢ドメイン、広告LP、SEOドメインへのアクセスをSWG/DNSフィルタで制御。公式配布元へ限定(ベンダー正規URLのブックマーク配布)
- コード署名検証を強化。発行者名・組織所在の不審(シェル会社、頻繁な証明書切替)を監視。OCSP/CRLの有効化
- サンドボックスで新規インストーラを事前解析。エンドポイントではAMSI/EDRでスクリプト挙動を可視化
- セキュリティ教育:検索経由の「広告」ダウンロード禁止、マニュアルはメーカー公式サイトから取得するルール化
📌 SOC視点
- スケジュールタスク監視:Security 4698/4702、TaskScheduler/Operational 106/140/200/201
- プロセス連鎖:インストーラ(setup/msi/sfx等)→ wscript.exe/cscript.exe → 暗号化通信。Sysmon Event 1(親子関係)、3(外向き接続)、11(ファイル作成)
- コマンドラインIOC:schtasks /Create /XML *.xml、%ProgramData%や%AppData%配下へのXML投下
- 証明書テレメトリ:新規・未知発行者、急な証明書ローテーション、署名時刻と配布開始時刻の異常な近接
- ネットワーク:若齢ドメイン(Namecheap登録など)への443通信、小サイズ周期送信(Base64混在のJSON様データ)
- 検出ロジックの例:parent_image in (setup.exe, msiexec.exe) and child_image in (wscript.exe, cscript.exe); and commandline contains “schtasks /Create”
📈 MITRE ATT&CK
- T1204.002 User Execution: Malicious File — 偽インストーラをユーザーが実行
- T1053.005 Scheduled Task/Job: Scheduled Task — XML経由でタスク登録し永続化
- T1553.002 Subvert Trust Controls: Code Signing — シェル会社名義のコード署名で信頼を装う
- T1027 Obfuscated/Compressed Files and Information — 難読化されたJavaScriptバックドア
- T1071.001 Application Layer Protocol: Web — HTTPSでC2通信
- T1132.001 Data Encoding — JSONをBase64エンコード
- T1573.001 Encrypted Channel — 暗号化チャネル(TLS)での送受信
- T1082 System Information Discovery — セッションIDやマシンIDなど環境情報の収集
- T1583.001 Acquire Infrastructure: Domains — Namecheapでのドメイン取得・運用
- T1588.003 Obtain Capabilities: Code Signing Certificates — デジタル証明書の調達
🏢 組織規模別助言
- 〜50名(小規模):IT管理者が公式サイト一覧を配布、ローカル管理者権限を撤廃。無料のDNSフィルタとブラウザ拡張の広告ブロックを導入。EDRが難しければDefender ASRを有効化
- 50〜500名(中規模):WDAC/AppLockerの段階的適用(監査→適用)。SWGで若齢ドメイン遮断。新規署名バイナリの隔離検査フローをCSIRTに組み込み、ヘルプデスクでインストール申請制へ
- 500名以上(大規模):ソフト配布をSCCM/Intuneで集中管理し、ローカルインストールを全面禁止。CTIと証明書テレメトリ相関で不審署名をハンティング。KQL/ Sigma化した検知ルールを継続運用
🔎 類似事例
- BaoLoader(別名としての追跡名)
- BatLoader:偽インストーラとSEO汚染を用いる類似キャンペーン
- GootLoader:検索汚染で誘導しスクリプト実行を狙う手口
- SocGholish:偽ブラウザ更新でJavaScriptベースの感染を誘発
🧭 次の一手
まずは「ユーザー任意インストールの禁止」と「公式配布源の徹底」を運用に落とし込み、WDAC/AppLockerの監査モード導入から始めてください。併せて、TaskSchedulerイベントとwscript実行の相関検知をSIEMに実装し、若齢ドメイン通信のブロックをSWG/DNSで行いましょう。新規インストーラはサンドボックスで事前審査する社内手続を整備するのが次のステップです。
