Source:https://thehackernews.com/2025/11/romcom-uses-socgholish-fake-update.html
🛡 概要
ロシア連邦軍参謀本部情報総局(GRU)のUnit 29155に中〜高信頼度で関連付けられると報告されるRomCom(別名: Nebulous Mantis/Storm-0978/UNC2596)が、SocGholish(FakeUpdates)を用いた偽ブラウザ更新手口で米国の土木系企業を狙い、Mythic Agentを投下しようとしました。Arctic Wolf Labsの分析では、RomComがSocGholish経由でペイロードを配布する観測は初とされ、感染からRomComローダー配布まで30分未満、かつ対象のActive Directory(AD)ドメインが攻撃者の想定値と一致するまで配布を保留するゲーティングが確認されています。本件は未遂で遮断されましたが、偽更新の速度と普遍性は広範な組織にとって重大な脅威です。
🔍 技術詳細
攻撃は、正規だが侵害済みのWebサイトに注入されたJavaScriptを経由し、Chrome/Firefoxの更新を装うポップアップを表示してユーザーに悪性JavaScriptローダーの取得・実行を促すことで開始されます。SocGholishは初期アクセスブローカー(IAB)として機能し、被害端末上でローダーが追加マルウェアを取得(Ingress)し、短時間で攻撃段階を進めます。今回の事案では、偽更新により確立されたリバースシェルを通じてホスト上でのコマンド実行・偵察が行われ、独自のPythonバックドア「VIPERTUNNEL」が投下されました。並行して、RomComに関連するDLLローダーが配置され、これがMythicフレームワークのエージェント(Mythic Agent)を起動。エージェントはC2サーバと通信し、コマンド実行、ファイル操作などポストエクスプロイト機能を提供します。特筆すべきは、攻撃者が配布前に被害端末のADドメインを検証し、あらかじめ保有する値と一致した場合のみローダーを投下する点で、標的性とノイズ低減の両立が図られています。なお、SocGholishの背後にいるTA569(別名: Gold Prelude/Mustard Tempest/Purple Vallhund/UNC1543)は、侵害Webサイトにプラグイン等の既知脆弱性を突いてJavaScriptを注入することが知られており、Evil Corp、LockBit、Dridex、Raspberry Robinなど多様な「顧客」に初期アクセスを提供してきました。今回の連携は、IAB経由でRomComがスピーディにポストエクスプロイト基盤(Mythic)を確立しうることを示しています。
⚠ 影響
偽更新はユーザー操作を引き金に短時間で初期侵入からC2確立まで到達します。成功した場合、資格情報窃取、横展開、機密データの窃取・破壊、業務停止リスクが高まります。ADドメイン確認を伴うターゲティングにより、ウクライナに関係する自治体・請負企業、NATO関連組織、連携企業なども巻き込まれる恐れがあります。
🛠 対策
– ブラウザ/ウェブ防御: 偽更新ブロック、不要なスクリプト型ファイル(.js/.jse/.vbs)のダウンロード制限、SSLインスペクション下でのレピュテーション/カテゴリフィルタを適用。
– 実行制御: WDAC/AppLockerでwscript/cscript/powershellの無署名実行を制限。標準ユーザーでのスクリプト実行ブロック。
– EDR/ネットワーク: ブラウザ子プロセスによるスクリプト実行・短時間の連鎖通信(30分未満)をハント。未知DLLのユーザーパスからのロードを監視。
– AD/ID保護: LAPS、特権の最小化、不要なドメイン情報の露出抑制。
– パッチ/資産管理: 自社運用Web/プラグインの脆弱性是正、SaaSの更新ポリシー検証。
– ユーザー教育: ブラウザ内の更新通知ではなく、ベンダ公式チャネルからの更新を徹底。
📌 SOC視点
検知の要点は「ブラウザ→スクリプトインタプリタ→ネットワーク/ローダー」の短時間チェーンです。Sysmon/EDRで以下を相関:
– ProcessCreation: browser.exeの子としてwscript.exe/cscript.exe/powershell.exe/msahta.exe等が出現。
– FileCreate: %AppData%/%ProgramData%や一時ディレクトリに未知DLL/EXE/JSが短時間に複数生成。
– DNS/Network: 実行直後に外向きC2通信。ドメイン/ホスト名/ADドメイン名等の環境情報送信の痕跡。
– ImageLoad: ユーザーパスからのDLL読み込み(ローダー経由)。
– Timeline: 感染トリガから30分未満でローダー配布に至るシーケンス。
推奨ルール例(概念): ブラウザ子プロセスでのスクリプト実行+直後の外向き接続、ユーザーパスDLLロード、短時間多段のIngressダウンロードの相関検知。隔離基準は不審C2接続の遮断と当該ユーザーの強制サインアウト。
📈 MITRE ATT&CK
– TA0001 Initial Access: T1189 Drive-by Compromise(侵害Webから偽更新を提示)/ T1190 Exploit Public-Facing Application(攻撃側がWebプラグイン脆弱性を悪用し注入)
– TA0002 Execution: T1204.002 User Execution: Malicious File(ユーザーが偽更新を実行)/ T1059.007 JavaScript(JSローダー)/ T1059.006 Python(VIPERTUNNEL)
– TA0007 Discovery: T1082 System Information Discovery(ADドメイン等の環境確認)
– TA0011 Command and Control: T1105 Ingress Tool Transfer(追加マルウェア取得)/ T1071 Application Layer Protocol(C2通信の確立)
🏢 組織規模別助言
– 小規模(〜50名): ブラウザのアプリ制御(WDAC/AppLocker)とDNSフィルタを優先導入。EDRはマネージド型を選択し、ブラウザ子プロセス監視のポリシーを有効化。
– 中規模(50〜500名): CASB/SWGでスクリプトファイルのダウンロード制御、SSLインスペクション適用。脅威ハンティングで「ブラウザ→スクリプト→C2」のチェーンを週次で確認。
– 大規模(500名〜): WDAC段階的適用、eBPF/NetFlowで短時間の多段Ingressを可視化。SOARで疑わしいチェーン検知時の即時隔離・資格情報リセットを自動化。
🔎 類似事例
– CVE-2023-36884(Microsoft Office/Windows HTML RCE):MicrosoftはStorm-0978(RomCom)による悪用を公表。NVDでは高深刻度(CVSS v3系)として扱われています。
– SocGholish(FakeUpdates)を起点にEvil Corp/LockBit/Dridex/Raspberry Robinへと展開する一連の偽更新キャンペーン。
本件と同様、ユーザー実行を引き金とした高速な初期侵入・ローダー配布が特徴です。
🧭 次の一手
直ちに「ブラウザ子プロセスでのスクリプト実行」と「短時間のIngressダウンロード」の検知クエリをSOCに展開し、疑わしい端末を隔離。WDAC/AppLockerのテストポリシーを作成し、wscript/cscript/powershellの利用許可リスト化を段階導入。ユーザー向けには「更新はベンダ公式サイト/アプリ内の機能のみから実施」の再教育を今週内に実施してください。
