TokyoBlackHatNews

gbhackers.com 5分で読了

ハッカーがCloudflareストレージを悪用してネットワークファイルを流出

複数のマレーシア組織を標的とした高度なサイバー諜報キャンペーンが明らかになりました。これは、カスタムツール、クラウドインフラストラクチャ、および巧妙なデータ流出をブレンドした、非常に構造化された攻撃チェーンです。

この作戦の中心には、政府関連ネットワーク全体の攻撃を調整するために使用されるAzure仮想マシン(IP:20.17.161.118)があります。

インフラストラクチャには、カスタマイズされたPythonスクリプト、Laravelエクスプロイトチェーン、Webシェルデプロイメントユーティリティ、さらには以前に未開示のコマンド&コントロール(C2)コンポーネントのソースコードなど、様々な攻撃者ツールが含まれていました。

攻撃者は、各ターゲットと機能に対して専用に作成されたPythonスクリプトを開発することで、高度な運用規律を実証しました。これらのツールは、内部ネットワーク列挙、データベースアクセス、および流出前のデータステージングを処理しました。

例えば、analyze_[REDACTED].py のようなスクリプトは、管理者レベルのWinRMアクセスと埋め込まれたMSSQLクレデンシャルを活用して、内部データベースに対して直接PowerShellクエリを実行しました。

Oasis Securityのセキュリティ研究者は、マレーシア西部地域のMicrosoft Azureでホストされている攻撃者が管理するインフラストラクチャを特定しました。これは、検出を最小限に抑えながら、ターゲット環境に近い場所で運用するための意図的な取り組みを示唆しています。

Image

asset_owner_check.py のような他のスクリプトは、完全性を検証し、抽出用のファイルを圧縮することで、機密データセットを準備しました。追加のスクリプトは、データベースに保存されている写真レコードを含む、特定のデータタイプをターゲットにしました。

別のツールキットは、外向きの政府ポータル向けに設計されました。1つのスクリプトは、公開されたRPCを悪用しました。

ASPエンドポイントでHTTP POSTリクエストを通じてリモートWindowsコマンドを実行し、攻撃者が直接的なシステム相互作用なしでコードを実行することを可能にしました。

126のターゲットクレデンシャルを含むパスワードリストの使用は、キャンペーンの精度をさらに強調しています。

ハッカーがCloudflareストレージを悪用

この侵入の注目すべき側面は、データ流出にCloudflareホストストレージの使用です。スクリプト gen_photo_upload.py は、侵害されたシステムから盗まれたファイルを攻撃者が管理するCloudflareエンドポイントにアップロードするために特別に設計されました。

スクリプトの1つである h[REDACTED]_alt_creds.py は、公開されたrpc.aspエンドポイントと相互作用して、WScript.Shellオブジェクトの作成を通じてリモートWindowsコマンドを実行します。

Image

このアプローチは複数の利点を提供します:

  • 悪意のあるトラフィックを合法的なクラウドサービスと混合させます。
  • 従来のセキュリティツールによる検出の可能性を低減します。
  • 被害者ネットワーク外への確実でスケーラブルなデータ転送を可能にします。

並行して、別のスクリプト(deploy.py)は外部RPCエンドポイント経由のリモートコマンド実行を有効にし、攻撃者が永続的な対話的セッションなしで制御を維持することを可能にしました。

Image

キャンペーンは少なくとも1つの場合において、完全なドメイン侵害にエスカレートしました。研究者は、流出されたWindowsレジストリハイブファイル(SAM、SECURITY、SYSTEM)とドメインコントローラーからのNTDS ダンプを発見しました。

これらの成果物により、攻撃者はMimikatzのようなツールを使用してオフラインでパスワードハッシュおよび機密クレデンシャルを抽出することができます。

このレベルのアクセスは以下を可能にします:

  • ネットワーク全体にわたる長期的な永続性。
  • システム間の横展開。
  • 部分的な修復後でも潜在的な再侵入。

さらに、攻撃者は政府関連サーバーにPHP Webシェル(health.php)を展開しました。これは分析時にアクティブであり、継続的なリモートアクセスを提供していました。

攻撃者はまた、マレーシアモバイルオペレーターのプラットフォームを、チェーンされたLaravelリモートコード実行技術を使用して悪用しました。

このエクスプロイトは5つの逆シリアル化ガジェットチェーンを組み合わせ、Laravelフレームワークと互換性のある暗号化ペイロードを使用してシステムコマンドを実行しました。

エクスプロイテーション以外にも、研究者はプライベートC2フレームワークのソースコードを発見しました。以下を含みます:

  • 永続性と通信に使用されるC#ビーコン(beacon.cs)。
  • 感染したホストを管理するためのPythonベースのHTTPリスナー(listener_http.py)。

これらのツールは公開されていないことから、一般的なマルウェアキャンペーンを超えて運用されている十分なリソースを持つ脅威アクターを示しています。

このキャンペーンは、その構造化された、モジュール式の設計とカスタムビルドされたツールへの依存により際立っています。

Active Directoryクレデンシャルの確認された抽出、ステルス的流出のためのクラウドサービスの使用、およびアクティブなWebシェルの存在は、成熟した継続的な脅威を示しています。

同様の脅威に直面している組織は、Webシェルの削除、ドメインクレデンシャルのローテーション、および攻撃者アクセスが残っているかどうかを特定するための深い法的分析の実施を含む、即座に封じ込めアクションの優先順位をつけるべきです。

Azureホストインフラストラクチャ、Cloudflareベースの流出、およびプライベートC2ツールの組み合わせは、攻撃者が検出を回避するために信頼されたクラウドエコシステムにますますブレンドするゆえの進化する脅威景観を強調しています。

翻訳元: https://gbhackers.com/hackers-abuse-cloudflare-storage/

ソース: gbhackers.com
#APT #Azure侵害 #C2フレームワーク #Cloudflare悪用 #Webシェル #データ流出 #ドメイン侵害 #マレーシア政府 #リモートコマンド実行 #認証情報盗取

関連記事

NGINXの重大な脆弱性によるリモートコード実行攻撃

Paper Werewolf APTがフェイク Adobe インストーラー経由で EchoGather RAT を拡散

マイクロソフト、Windows 11更新失敗でエラー0x800f0922との関連を確認