{
	"id": "66b0f7cd-1b18-4b05-9cd2-915e60cc7a82",
	"created_at": "2026-04-10T03:21:22.874092Z",
	"updated_at": "2026-04-10T03:22:17.218999Z",
	"deleted_at": null,
	"sha1_hash": "ebfd6f30382d149a859fd844e25523926ef8d788",
	"title": "SteelCloverによるGoogle広告経由でマルウェアを配布する攻撃の活発化について",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1743591,
	"plain_text": "SteelCloverによるGoogle広告経由でマルウェアを配布する攻撃\r\nの活発化について\r\nBy NTTセキュリティ・ジャパン株式会社\r\nPublished: 2023-02-08 · Archived: 2026-04-10 02:22:57 UTC\r\nBy Rintaro Koike\r\nPublished February 8, 2023 | Japanese\r\n本日の記事は、SOC アナリスト 小池 倫太郎の記事です。\r\n---\r\n2023年1月初めから複数の日本企業において、Google広告経由でマルウェアをダウンロードするインシ\r\nデントが急増しています。IcedIDやAurora Stealerを配布するものなど、観測されている攻撃キャンペー\r\nンは数多く存在しますが、特に私たちがSteelCloverと呼んでいる攻撃グループによるものが多くなって\r\nいます。\r\n本稿では、直近で観測されたGoogle広告経由でのマルウェア配布事例の中から、SteelCloverによる攻撃\r\nの最新動向を共有します。\r\nSteelClover\r\nSteelCloverは少なくとも2019年から活動している攻撃グループで、金銭を目的に攻撃を行っています。\r\nMalsmoke[1][2][3][4]と呼ばれる攻撃キャンペーンを実行している攻撃グループであり、Batloader[5]と\r\n呼ばれるマルウェアを使用しており、DEV-0569[6]やWater Minyades[7]と重複があります。SteelCloverに\r\nよる攻撃は情報窃取の他に、最終的にランサムウェア実行に至るという情報もあります。\r\n私たちはSteelCloverによる攻撃を5つのキャンペーンに分類しており、2023年2月上旬時点ではBatAppキ\r\nャンペーンとFakeGPGキャンペーンが観測されています。これまでも日本国内で数回スパイクが確認\r\nされていましたが、2023年1月上旬から再び活発化しています。\r\nSteelCloverは現在までに様々な変化が観測されており、攻撃手法も日々アップデートされています。以\r\n下にSOCで把握しているSteelCloverのイベントを示します。\r\nhttps://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle\r\nPage 1 of 8\n\n最新の攻撃フロー\r\nSteelCloverは日々アップデートを続けており、攻撃フローも変化していますが、以下では2023年2月上\r\n旬に観測されたFakeGPGキャンペーンによる攻撃をもとにしています。\r\n下記画像のように、SteelCloverの悪性ファイル配布サイトへリダイレクトする悪性広告は正規サイトよ\r\nりも上位に表示されており、ユーザが誤ってアクセスしてしまう恐れがあります。このとき表示され\r\nる悪性広告は改ざんされたWebサイトであると考えられます。\r\nhttps://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle\r\nPage 2 of 8\n\n悪性ファイル配布サイトは正規サイトをコピーして作成されており、見た目は正規サイトとほとんど\r\n変わりません。ダウンロードボタンをクリックすることで悪性ファイルがダウンロードされます。\r\n悪性ファイルはMSIファイルであり、MSIファイルを実行することでPowerShellコードが実行されま\r\nす。その結果、UrsnifとRedline Stealerがダウンロード・実行され、情報窃取が行われます。\r\n悪性ファイル配布サイト\r\n悪性ファイルを配布するサイトは著名なソフトウェアのWebサイトを模して作成されています。SOCで\r\nはこれまでに50種類以上SteelCloverによる悪性ファイル配布サイト（FakeGPGキャンペーンに限らず、\r\n別キャンペーンも含む）を確認しています。\r\n以前はAnyDeskやTeamViewerのようなリモートデスクトップツールや、SlackやMicrosoft Teamsのような\r\nコミュニケーションツール、Adobe AcrobatやMozilla Thunderbirdのような業務上使用するようなソフト\r\nウェアのWebサイトが模倣されてきました。しかし、最近では幅広く著名なソフトウェアを模倣する傾\r\n向にあり、それらを予め想定することは難しくなってきています。\r\nhttps://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle\r\nPage 3 of 8\n\nMSIファイル\r\nMSIファイルはメモリが4100MB以上ないと実行できないように制限が掛けられています。これは解\r\n析・サンドボックス環境での動作を避けるためであると考えられます。\r\nhttps://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle\r\nPage 4 of 8\n\nMSIファイルは実行されると、Custom Action機能を用いてPowerShellコードを実行します。\r\nPowerShellコードは更に別のPowerShellコードをWebサイト上からダウンロード・実行します。\r\nPowerShellコード\r\nMSIファイルによってダウンロード・実行されたPowerShellコードは、まず Add-MpPreference コマンド\r\nを用いていくつかの拡張子やディレクトリ、プロセスをMicrosoft Defenderの除外設定に追加します。\r\nhttps://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle\r\nPage 5 of 8\n\n次に wget コマンドを用いてGPGファイルをダウンロードします。これは後述するGpg4Winを用いて復\r\n号され、最終的にUrsnifとRedline Stealerとなります。\r\nその後、正規のインストーラファイルをダウンロードし、実行します。ユーザから見ると、 確かに正\r\n規のインストーラが実行されているため、悪性ファイルを開いてしまったことを自覚しにくくなって\r\nいます。\r\nまた、先にダウンロードしたGPGファイルを復号するために、Gpg4Winがインストールされ、ファイル\r\nを復号します。\r\nこのときダウンロードされるGpg4Winは長期に渡って同一の非常に古いバージョンであり、かつHTTP\r\nでダウンロードするため、検知することは容易です。\r\n最後に、予めダウンロードしたNSudoを用いて、復号したUrsnifとRedline Stealerを実行します。\r\n実行されるマルウェア\r\nPowerShellコードによって実行されるマルウェアのうち、rundll32.exeを用いて実行される Zeip.dll は\r\nUrsnifです。Ursnifは元々バンキングトロジャンであり金融関連の情報窃取を目的としてきましたが、\r\n現在SteelCloverが使用しているUrsnifはVNCのモジュールを使用しており、端末へのアクセスを得るた\r\nめに使用されていると考えられます。\r\nhttps://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle\r\nPage 6 of 8\n\nPowerShellコードによって実行されるマルウェアのうち、Zeip.exe は .NET製のダウンローダであり、実\r\n行されるとRedline Stealerをダウンロード・実行します。Redline Stealerは端末内に保存された機密情報\r\nを窃取します。\r\nSteelCloverの背後\r\nSteelCloverはExploit Kitやマルウェアなどを独自で開発しているわけではなく、販売されているものを\r\n使用していますが、攻撃者はミスが多く、随所に攻撃者の特徴が反映されています。\r\n例えば、表面的なものであれば、Gpg4Winによってマルウェアを復号する際に使用されるパスワード\r\nや、Redline StealerをダウンロードするZeip.exeで使用されている関数名などはロシアを想起させます。\r\nこれらは攻撃者が意図して自らそうしているわけですが、はじめからそうであったわけではなく、数\r\nカ月ほど前からその傾向が顕著となっています。\r\nまた、SteelCloverが管理する攻撃者インフラ（悪性ファイル配布サーバやマルウェア配布サーバ）上で\r\n使われている言語や、攻撃者のミスで漏洩した様々な情報にもロシア由来のものが多数含まれていま\r\nした。これらのことから、SteelCloverはロシア語話者が関与している攻撃グループであると考えられま\r\nす。\r\nおわりに\r\nSteelCloverは数年前から活動している攻撃グループであり、現在ではGoogle広告経由で悪性ファイルを\r\n配布し、UrsnifやRedline Stealerに感染させています。日々積極的にアップデートを続けており、度々日\r\n本でも観測されているため、今後も注意が必要です。\r\nIoC\r\n47[.]251.52.170\r\n37[.]220.83.95\r\n5[.]178.2.159\r\n81[.]177.136.237\r\n81[.]177.6.46\r\n62[.]204.41.176\r\n参考文献\r\n[1] Malwarebytes, \"Malvertising campaigns come back in full swing\",\r\nhttps://www.malwarebytes.com/blog/news/2020/09/malvertising-campaigns-come-back-in-full-swing\r\nhttps://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle\r\nPage 7 of 8\n\n[2] Malwarebytes, \"Malsmoke operators abandon exploit kits in favor of social engineering scheme\",\r\nhttps://www.malwarebytes.com/blog/news/2020/11/malsmoke-operators-abandon-exploit-kits-in-favor-of-social-engineering-scheme\r\n[3] NTTセキュリティ・ジャパン, \"Crazy Journey: Evolution of Smoky Camouflage\",\r\nhttps://jsac.jpcert.or.jp/archive/2022/pdf/JSAC2022_6_sawabe-tanabe_jp.pdf\r\n[4] Check Point, \"Can You Trust a File’s Digital Signature? New Zloader Campaign exploits Microsoft’s\r\nSignature Verification putting users at risk\", https://research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/\r\n[5] Mandiant, \"Zoom For You — SEO Poisoning to Distribute BATLOADER and Atera Agent\"\r\n, https://www.mandiant.com/resources/blog/seo-poisoning-batloader-atera\r\n[6] Microsoft, \"DEV-0569 finds new ways to deliver Royal ransomware, various payloads\",\r\nhttps://www.microsoft.com/en-us/security/blog/2022/11/17/dev-0569-finds-new-ways-to-deliver-royal-ransomware-various-payloads/\r\n[7] TrendMicro, \"Batloader Malware Abuses Legitimate Tools, Uses Obfuscated JavaScript Files in Q4 2022\r\nAttacks\", https://www.trendmicro.com/en_us/research/23/a/batloader-malware-abuses-legitimate-tools-uses-obfuscated-javasc.html\r\nSource: https://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle\r\nhttps://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle\r\nPage 8 of 8",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle"
	],
	"report_names": [
		"steelclovergoogle"
	],
	"threat_actors": [],
	"ts_created_at": 1775791282,
	"ts_updated_at": 1775791337,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/ebfd6f30382d149a859fd844e25523926ef8d788.pdf",
		"text": "https://archive.orkl.eu/ebfd6f30382d149a859fd844e25523926ef8d788.txt",
		"img": "https://archive.orkl.eu/ebfd6f30382d149a859fd844e25523926ef8d788.jpg"
	}
}