PR

偽MASドメインがWindowsへPowerShell系Cosmali Loader拡散

Security

Source:https://www.bleepingcomputer.com/news/security/fake-mas-windows-activation-domain-used-to-spread-powershell-malware/

🛡 概要

Microsoft Activation Scripts(MAS)の正規手順にある get.activated.win を一文字だけ誤った「get.activate[.]win」にタイポ入力すると、Cosmali Loader 系の不正PowerShellスクリプトが配布される事案が確認されました。複数のユーザーがCosmali Loader 感染警告のポップアップを報告しており、研究者RussianPandaの分析とも合致します。Cosmali Loader は暗号通貨マイナーやXWorm RATを投下し得るため、影響は「計算資源の搾取」から「遠隔操作・情報窃取」まで広がります。なお本件は特定の製品脆弱性ではなく、タイポスクワッティングとユーザー実行に依存するソーシャル・テクニックによる感染連鎖です(CVSSは適用外)。

🔍 技術詳細

攻撃者は正規の MAS ドメイン「get.activated.win」に酷似した「get.activate[.]win」を登録・運用し、ユーザーがPowerShellでコマンドを入力する際のタイプミスを悪用します。MAS手順では、PowerShell からリモートスクリプトを取得・実行するワンライナー(例:Invoke-RestMethod/Invoke-WebRequest と Invoke-Expression の組み合わせ)が案内されることがあります。このワンライナーでドメイン部分を「get.activate[.]win」と誤入力すると、攻撃者ホストから不正スクリプトが返却され、PowerShell(Command and Scripting Interpreter)がその場で実行されます。これにより、第一段階ローダ(PowerShell/バッチ等)が追加ペイロードをダウンロードし、Cosmali Loader が常駐化・持続化設定や次段階の配布(暗号資産マイナーやXWorm RAT など)を行います。報告では、感染通知が表示されるケースがあり、これは第三者の研究者がマルウェアの管理パネルへアクセスし、被害ユーザーに注意喚起を行った可能性が指摘されています(行為主体は未確定)。技術的鎖は概ね以下の通りです。

  • ユーザーのタイプミス → タイポスクワットドメインへHTTP/HTTPSアクセス
  • PowerShell がリモートスクリプトを取得・実行(IEX など)
  • Cosmali Loader が追加ペイロード(暗号通貨マイナー、XWorm RAT など)をデリバリー
  • 結果としてCPU/GPU資源の搾取、遠隔操作、情報窃取・横展開リスクが発生

本件は脆弱性悪用ではなく、ユーザー実行(User Execution)とインフラ準備(ドメイン取得)の組み合わせで成立します。よって、エンドポイント側ではPowerShellの高度なロギング、リモートスクリプト実行の制御、DNS/HTTP フィルタリングが検知・抑止の鍵となります。

⚠ 影響

  • リソース消費・業務遅延(暗号通貨マイニング)
  • 遠隔操作・情報窃取・追加マルウェア投下(XWorm RAT)
  • 資格情報の窃取・二次被害(アカウント乗っ取り、横展開リスク)
  • 不正通信に伴うセキュリティ評価低下、クラウド/オンプレ費用の増大

侵害が確度高い場合は「完全性喪失」を前提に、再イメージ(リイメージ)・資格情報リセットを推奨します。

🛠 対策

  • 入力ミス対策:正規手順はコピペを徹底し、出所不明のコマンドは実行しない。リモートスクリプトの中身を理解せずに IEX で実行しない。
  • DNS/HTTP フィルタ:get.activate[.]win をDNSブロック。類似ドメインのタイポ監視・ブロッキング(DNSフィルタ/セーフサーチ/プロキシ)。
  • PowerShell 制御:Constrained Language Mode、WDAC/AppLocker でリモートスクリプト/未署名スクリプト実行を制限。ASR ルール(難読化スクリプト実行阻止、Office からの子プロセス生成禁止等)の適用。
  • ロギング強化:PowerShell スクリプトブロック(4104)、モジュール(4103)、Windows Security 4688、Sysmon(1/3/11/13/22)を有効化し集中管理。
  • IR 手順:感染兆候があれば隔離→メモリ/ディスクアーティファクト採取→完全性評価→再イメージ→全アカウントの強制パスワード変更・トークン無効化。

📌 SOC視点

  • ハンティング軸:DNSクエリ(get.activate[.]win)、HTTP Host/SNI、PowerShell 実行列(-nop, -w hidden, -enc, IEX/irm/iwr の併用)、powershell.exe からの外向き通信(Sysmon 3)、不審な子プロセス。
  • 主要ログ:PowerShell 4104/4103、Windows 4688、Sysmon 1/3/11/13/22、Defender/EDR のAMSI検出。
  • 鑑識ポイント:ユーザープロファイル配下の一時フォルダや %ProgramData% に生成物、Run/RunOnce、Scheduled Tasks、WMI Subscription の有無。
  • 封じ込め:EDR でネットワーク隔離、疑わしい PowerShell セッションの強制終了、IOC(ドメイン/ハッシュ)でブロック。

📈 MITRE ATT&CK

  • TA0042 Resource Development: T1583.001 Acquire Infrastructure: Domains(正規に酷似するドメイン「get.activate[.]win」を取得・運用)
  • TA0001 Initial Access: T1204 User Execution(ユーザーがPowerShell ワンライナーを実行し初期侵入に至る)
  • TA0002 Execution: T1059.001 Command and Scripting Interpreter: PowerShell(リモート取得スクリプトの実行)
  • TA0011 Command and Control: T1105 Ingress Tool Transfer(PowerShellで追加ペイロードを外部から取得)
  • TA0040 Impact: T1496 Resource Hijacking(暗号通貨マイニングによる計算資源の搾取)

🏢 組織規模別助言

  • 小規模(〜50名):DNSフィルタ(DoH対応)とDefenderのASR ルールを既定で有効化。MAS等のグレーゾーンツールの使用を禁止し、標準イメージの再展開手順を整備。
  • 中規模(50〜500名):WDAC/AppLocker によるPowerShell 実行ポリシーの段階的適用、プロキシでのリモートスクリプト取得ドメインの許可リスト運用、EDR の自動隔離運用を定着。
  • 大規模(500名〜):タイポスクワット監視(ブランド保護/DNSテレメトリ)、脅威インテリジェンスでのドメイン自動封鎖、紫チーム演習で「コピペ実行」の業務手順リスクを定期検証。

🔎 類似事例

  • MAS や非公式アクティベータ経由のマルウェア配布(長年の反復的手口)
  • タイポスクワットによる偽ダウンロードサイトからのローダ配布(一般的なケース)
  • 開発者エコシステムでのタイポスクワッティング(PyPI/npm の類似パッケージ名悪用)

🧭 次の一手

  • 自社のPowerShell セーフガード実装状況(CLM/WDAC/ASR/監査)を点検し、1週間以内にギャップ対策を実施。
  • DNS/HTTP テレメトリで「get.activate[.]win」アクセス有無を即時確認し、該当端末は隔離・フォレンジックへ。
  • ユーザー向けに「コマンドの再入力禁止」「リモートスクリプトの中身確認」教育コンテンツを周知。