TestDisk偽装、SEOポイズニングでマルウェア配布　Microsoft署名バイナリ悪用

SEOポイズニングと署名バイナリ悪用手法

検索結果操作（SEOポイズニング）を利用し、TestDiskを装ったインストーラを通じてマルウェアを配布する手口が確認されている。攻撃では、RMMツールを不正に導入する構成が用いられている。

誘導先のサイトは正規ソフトを装ったドメインで構成され、検索経由でユーザーを偽サイトへ誘導する。ダウンロードされるインストーラにはトロイの木馬が組み込まれており、DLLサイドローディングにより実行される。

また、Microsoft署名バイナリを装うことで信頼性を偽装し、「autorun.dll」を読み込ませる形で不正コードが起動する仕組みとなっている。

DLLロードとRMM悪用による遠隔操作

Microsoft署名バイナリを装った実行により、マルウェアが正規プロセスとして動作し、検知回避が図られる。DLLサイドローディングを通じて不正なコンポーネントが読み込まれ、TestDisk本体とともに追加ペイロードが導入される。

その過程で、ScreenConnectなどのRMMツールが同時に展開され、攻撃者による遠隔操作環境が構築される。これらのツールは正規用途でも広く利用されるため、通常の管理通信に紛れる形で不正アクセスが継続する挙動が確認されている。

結果として、追加ツールの導入や情報収集、さらなるマルウェア実行につながる可能性がある。

監視対象と運用対策のポイント

本件に関連して、悪性ドメイン「testdisk.dev」や「direct-download.gleeze.com」への通信、およびIPアドレス「193.42.11.108」や特定のSHA-256ハッシュに関連するトラフィックが監視対象として挙げられる。

また、Microsoft署名バイナリ経由で読み込まれる不審なDLLや、RMMツールの利用状況に関する管理強化が重要となる。正規ツールを装った不正利用が想定されるため、通信内容や実行プロセスの継続的な確認が求められる。

あわせて、ソフトウェアの入手経路については公式サイトからのダウンロードを前提とした運用が基本となる。