SteelCloverによるGoogle広告経由でマルウェアを配布する攻撃
の活発化について
By NTTセキュリティ・ジャパン株式会社
Published: 2023-02-08 · Archived: 2026-04-10 02:22:57 UTC
By Rintaro Koike
Published February 8, 2023 | Japanese
本日の記事は、SOC アナリスト 小池 倫太郎の記事です。
---
2023年1月初めから複数の日本企業において、Google広告経由でマルウェアをダウンロードするインシ
デントが急増しています。IcedIDやAurora Stealerを配布するものなど、観測されている攻撃キャンペー
ンは数多く存在しますが、特に私たちがSteelCloverと呼んでいる攻撃グループによるものが多くなって
います。
本稿では、直近で観測されたGoogle広告経由でのマルウェア配布事例の中から、SteelCloverによる攻撃
の最新動向を共有します。
SteelClover
SteelCloverは少なくとも2019年から活動している攻撃グループで、金銭を目的に攻撃を行っています。
Malsmoke[1][2][3][4]と呼ばれる攻撃キャンペーンを実行している攻撃グループであり、Batloader[5]と
呼ばれるマルウェアを使用しており、DEV-0569[6]やWater Minyades[7]と重複があります。SteelCloverに
よる攻撃は情報窃取の他に、最終的にランサムウェア実行に至るという情報もあります。
私たちはSteelCloverによる攻撃を5つのキャンペーンに分類しており、2023年2月上旬時点ではBatAppキ
ャンペーンとFakeGPGキャンペーンが観測されています。これまでも日本国内で数回スパイクが確認
されていましたが、2023年1月上旬から再び活発化しています。
SteelCloverは現在までに様々な変化が観測されており、攻撃手法も日々アップデートされています。以
下にSOCで把握しているSteelCloverのイベントを示します。
https://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle
Page 1 of 8

最新の攻撃フロー
SteelCloverは日々アップデートを続けており、攻撃フローも変化していますが、以下では2023年2月上
旬に観測されたFakeGPGキャンペーンによる攻撃をもとにしています。
下記画像のように、SteelCloverの悪性ファイル配布サイトへリダイレクトする悪性広告は正規サイトよ
りも上位に表示されており、ユーザが誤ってアクセスしてしまう恐れがあります。このとき表示され
る悪性広告は改ざんされたWebサイトであると考えられます。
https://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle
Page 2 of 8

悪性ファイル配布サイトは正規サイトをコピーして作成されており、見た目は正規サイトとほとんど
変わりません。ダウンロードボタンをクリックすることで悪性ファイルがダウンロードされます。
悪性ファイルはMSIファイルであり、MSIファイルを実行することでPowerShellコードが実行されま
す。その結果、UrsnifとRedline Stealerがダウンロード・実行され、情報窃取が行われます。
悪性ファイル配布サイト
悪性ファイルを配布するサイトは著名なソフトウェアのWebサイトを模して作成されています。SOCで
はこれまでに50種類以上SteelCloverによる悪性ファイル配布サイト（FakeGPGキャンペーンに限らず、
別キャンペーンも含む）を確認しています。
以前はAnyDeskやTeamViewerのようなリモートデスクトップツールや、SlackやMicrosoft Teamsのような
コミュニケーションツール、Adobe AcrobatやMozilla Thunderbirdのような業務上使用するようなソフト
ウェアのWebサイトが模倣されてきました。しかし、最近では幅広く著名なソフトウェアを模倣する傾
向にあり、それらを予め想定することは難しくなってきています。
https://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle
Page 3 of 8

MSIファイル
MSIファイルはメモリが4100MB以上ないと実行できないように制限が掛けられています。これは解
析・サンドボックス環境での動作を避けるためであると考えられます。
https://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle
Page 4 of 8

MSIファイルは実行されると、Custom Action機能を用いてPowerShellコードを実行します。
PowerShellコードは更に別のPowerShellコードをWebサイト上からダウンロード・実行します。
PowerShellコード
MSIファイルによってダウンロード・実行されたPowerShellコードは、まず Add-MpPreference コマンド
を用いていくつかの拡張子やディレクトリ、プロセスをMicrosoft Defenderの除外設定に追加します。
https://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle
Page 5 of 8

次に wget コマンドを用いてGPGファイルをダウンロードします。これは後述するGpg4Winを用いて復
号され、最終的にUrsnifとRedline Stealerとなります。
その後、正規のインストーラファイルをダウンロードし、実行します。ユーザから見ると、 確かに正
規のインストーラが実行されているため、悪性ファイルを開いてしまったことを自覚しにくくなって
います。
また、先にダウンロードしたGPGファイルを復号するために、Gpg4Winがインストールされ、ファイル
を復号します。
このときダウンロードされるGpg4Winは長期に渡って同一の非常に古いバージョンであり、かつHTTP
でダウンロードするため、検知することは容易です。
最後に、予めダウンロードしたNSudoを用いて、復号したUrsnifとRedline Stealerを実行します。
実行されるマルウェア
PowerShellコードによって実行されるマルウェアのうち、rundll32.exeを用いて実行される Zeip.dll は
Ursnifです。Ursnifは元々バンキングトロジャンであり金融関連の情報窃取を目的としてきましたが、
現在SteelCloverが使用しているUrsnifはVNCのモジュールを使用しており、端末へのアクセスを得るた
めに使用されていると考えられます。
https://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle
Page 6 of 8

PowerShellコードによって実行されるマルウェアのうち、Zeip.exe は .NET製のダウンローダであり、実
行されるとRedline Stealerをダウンロード・実行します。Redline Stealerは端末内に保存された機密情報
を窃取します。
SteelCloverの背後
SteelCloverはExploit Kitやマルウェアなどを独自で開発しているわけではなく、販売されているものを
使用していますが、攻撃者はミスが多く、随所に攻撃者の特徴が反映されています。
例えば、表面的なものであれば、Gpg4Winによってマルウェアを復号する際に使用されるパスワード
や、Redline StealerをダウンロードするZeip.exeで使用されている関数名などはロシアを想起させます。
これらは攻撃者が意図して自らそうしているわけですが、はじめからそうであったわけではなく、数
カ月ほど前からその傾向が顕著となっています。
また、SteelCloverが管理する攻撃者インフラ（悪性ファイル配布サーバやマルウェア配布サーバ）上で
使われている言語や、攻撃者のミスで漏洩した様々な情報にもロシア由来のものが多数含まれていま
した。これらのことから、SteelCloverはロシア語話者が関与している攻撃グループであると考えられま
す。
おわりに
SteelCloverは数年前から活動している攻撃グループであり、現在ではGoogle広告経由で悪性ファイルを
配布し、UrsnifやRedline Stealerに感染させています。日々積極的にアップデートを続けており、度々日
本でも観測されているため、今後も注意が必要です。
IoC
47[.]251.52.170
37[.]220.83.95
5[.]178.2.159
81[.]177.136.237
81[.]177.6.46
62[.]204.41.176
参考文献
[1] Malwarebytes, "Malvertising campaigns come back in full swing",
https://www.malwarebytes.com/blog/news/2020/09/malvertising-campaigns-come-back-in-full-swing
https://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle
Page 7 of 8

[2] Malwarebytes, "Malsmoke operators abandon exploit kits in favor of social engineering scheme",
https://www.malwarebytes.com/blog/news/2020/11/malsmoke-operators-abandon-exploit-kits-in-favor-of-social-engineering-scheme
[3] NTTセキュリティ・ジャパン, "Crazy Journey: Evolution of Smoky Camouflage",
https://jsac.jpcert.or.jp/archive/2022/pdf/JSAC2022_6_sawabe-tanabe_jp.pdf
[4] Check Point, "Can You Trust a File’s Digital Signature? New Zloader Campaign exploits Microsoft’s
Signature Verification putting users at risk", https://research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/
[5] Mandiant, "Zoom For You — SEO Poisoning to Distribute BATLOADER and Atera Agent"
, https://www.mandiant.com/resources/blog/seo-poisoning-batloader-atera
[6] Microsoft, "DEV-0569 finds new ways to deliver Royal ransomware, various payloads",
https://www.microsoft.com/en-us/security/blog/2022/11/17/dev-0569-finds-new-ways-to-deliver-royal-ransomware-various-payloads/
[7] TrendMicro, "Batloader Malware Abuses Legitimate Tools, Uses Obfuscated JavaScript Files in Q4 2022
Attacks", https://www.trendmicro.com/en_us/research/23/a/batloader-malware-abuses-legitimate-tools-uses-obfuscated-javasc.html
Source: https://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle
https://insight-jp.nttsecurity.com/post/102i7af/steelclovergoogle
Page 8 of 8