TokyoBlackHatNews

cyberpress.org 4分で読了

Microsoft TeamsとGoogle Driveを悪用してマルウェアを展開するハッカー

Microsoft TeamsのビッシングとQuick Assistによるリモートアクセス、そしてGoogle DriveのC2インフラを組み合わせ、「Nimbus RAT」と呼ばれるJavaベースのリモートアクセス型トロイの木馬(RAT)を展開する巧妙な攻撃キャンペーンが確認されました。

2026年4月に初めて確認されたこのキャンペーンは、12か月間で少なくとも172の組織を標的とし、2026年2月だけでも活動量がベースラインの約8倍に急増しました。

侵害はインボックスボンビング(受信箱爆撃)から始まります。法律関連企業を標的にした事例では、2026年4月6日に90分以内に282通のメールが届き、116の異なる送信元ドメインから1分間に最大26通というペースでピークに達したと、Esentireは報告しています。

メール洪水がピークに達してから約45分後、ITヘルプデスクを装ったMicrosoft Teamsの外部アカウントを使用した脅威アクターが被害者に連絡し、受信箱の混乱を解決すると持ちかけました。

被害者にQuick Assistを起動させることに成功した攻撃者は、チャットにPastebin URL(pastebin[.]com/G6jA0PLU)を貼り付けました。そこには4行の手順チェックリスト、ペイロードのダウンロードURL、永続化パス、展開ディレクトリ、アーカイブ名が記載されていました。

被害者は侵害されたMicrosoft 365のSharePointテナントからInboxCorePro.zip(SHA-256: 9E5B1E10AD6904D3F5B48D38470CD57263974640A27D13CF793EF026D3D6B886)をダウンロードしました。

最初のTeams接触からRATの実行まで、一連の流れ全体が20分未満で完了したと、Esentireは述べています。

内部的にBackupBOXとして追跡されているこのマルウェアは、キャンペーンUUID 1hc1his4gmto0q1 を持つ自己完結型のJavaアーカイブ(InboxCorePro.jar、SHA-256: 91E523A46F3BB860AC2E5800B7E1EC89D75A2408410B9CD25EEBC17C8D7A92BC)です。独自のOpenJDK 25.0.1ランタイムをバンドルしており、Javaのインストール状況に関わらず、あらゆるWindowsエンドポイントで動作します。

最も高い回避性を持つ特徴は、C2の設計にあります。Nimbus RATはGoogle Drive(サービスアカウントおよびOAuth2チャネル経由)を利用してオペレーターのコマンド(ファイル: entry_{campaignUUID})をポーリングし、応答(exit_{campaignUUID})を外部へ送信します。

すべてのトラフィックは正規のGoogle APIエンドポイントを経由するため、Google Workspace環境ではネットワーク層でのブロックが事実上不可能です。C2通信はすべてRSA-4096で暗号化されています。

このRATは、任意のシェル実行、完全なファイルシステムアクセス、レジストリ操作、スクリーンショット取得、インメモリJavaプラグインの読み込み(jc/jcbコマンド)など幅広い機能を備えています。さらに、Java Swingで構築された偽のWindowsセキュリティダイアログと、JNA経由のネイティブCredUIPromptForCredentialsW呼び出しという、2種類の認証情報窃取手法も持っています。

どちらの手法も、最初の入力時に偽の「パスワードが正しくありません」エラーを表示することで、2回分のパスワード入力を取得します。esentireによると、TRUが1,540件の検知イベントを分析した結果、明確なインフラのフィンガープリントが特定されました。

TRUはこのキャンペーンを、2025年初頭のBlack Bastaの内部対立を受けたBlackSuitアフィリエイトの活動およびBlack Basta派生グループと関連付けており、TTPs(戦術・技術・手順)の重複からStorm-1811との関連も指摘しています。

防御担当者は、トライアルテナントからの外部Teamsメッセージを無効化し(観測された攻撃量の65%をブロック可能)、1分間に20通を超えるメール洪水に対するアラートを設定し、C:\ProgramData\ からJARを実行する javaw.exe に対するEDRルールを作成することが推奨されます。

ネットワークチームは、googleapis.comへのトラフィックに対してプロセスレベルの帰属分析を有効化し、DriveスコープでBackupBOXという名前のアプリケーションへのOAuth許可についてGoogle Workspaceの監査ログを監視することが重要です。これは信頼性の高いIOCとなります。

翻訳元: https://cyberpress.org/hackers-abuse-microsoft-teams-and-google-drive/

ソース: cyberpress.org
#Black Basta #C2インフラ #Google Drive #Microsoft Teams #Nimbus RAT #Quick Assist #Storm-1811 #インボックスボンビング #ソーシャルエンジニアリング #ビッシング

関連記事

Windows Collaborative Translation Framework のゼロデイ脆弱性、権限昇格を可能に

CISAがGoogle Chromiumのゼロデイ脆弱性の悪用について警告

悪意のあるnpmパッケージ「dbmux」、システムを侵害するマルウェアで開発者を標的に