出典: Paul Markillie via Alamy Stock Photo
今日発表されたセキュリティベンダーSecuronixの研究によると、脅威アクターは.lnkショートカットファイルを使用してリモートペイロードを配信する高度なキャンペーンを実施しています。
このマルウェアキャンペーンでは、「Serpentine#Cloud」として追跡されており、攻撃者は「CloudflareトンネルインフラストラクチャとPythonベースのローダーを利用して、ショートカットファイルと難読化されたスクリプトのチェーンを通じてメモリに注入されたペイロードを配信する」と研究者は説明しています。
3月にTrend MicroのZero Day Initiative (ZDI)は、.lnk ショートカットファイルを使用した国家的キャンペーンを詳細に説明しました。Serpentine#Cloudキャンペーンの場合、Securonixは攻撃者の難読化方法のため、これらの攻撃を特定の脅威アクターに帰属させることをこれまで拒否しています。しかし、Securonixが説明するように、アクターは「コードコメントやスクリプトの実践に基づいて英語に堪能であることを示しています。」
Securonixの上級脅威研究者であるTim Peckは、Dark Readingに対し、キャンペーンの側面が国家的脅威アクターを思わせるほど高度であったが、特定のオープンソースツールの使用や疑問のあるコーディング選択があったため、国家的な関与があったとしても、主要な国家的脅威アクター(ロシア、イラン、北朝鮮、中国)ではない可能性が高いと考えています。
関連:脅威アクターがTeamFiltrationを悪用してEntra IDアカウントを乗っ取る
新しい研究を共同執筆したPeckによると、Securonixは過去1か月ほどこのキャンペーンを追跡しており、過去のデータでは少なくとも昨年末まで追跡されています。彼はこのキャンペーンが「非常に活発」であるため、さらなる研究を予想しています。
Serpentine#Cloudの手法
Serpentine#Cloudの背後にいる脅威アクターは、フィッシングメールを介して初期アクセスを獲得し、圧縮された添付ファイルをダウンロードするリンクを含んでいます。これらは、研究によれば、しばしば支払いや請求書詐欺を中心に構築されています。
zipファイルには.lnkファイルが含まれており、通常はWindowsのショートカットに使用され、脅威活動のターゲットとしてますます人気が高まっています。ファイルはドキュメントとして偽装されており、実行されると、被害者が気づかないうちにリモートコードを取得して実行するために使用されます。これがより大きな攻撃チェーンの始まりを示します。
.lnkファイルは次に、非常に難読化されたバッチファイルをダウンロードし、そこには「デコイPDFを最初に展開し、ウイルス対策ソフトウェアをチェックし、ダウンロードしてPythonペイロードを実行し、Windowsスタートアップフォルダを通じて永続性を確立するために必要なすべてが含まれています。」最終的なペイロードは「Pythonベースのメモリ内シェルコードローダー」です。攻撃チェーンの最終結果はバックドアが仕込まれたシステムです。バックドアが何に使用されるかは不明ですが、Securonixはまだ脅威アクターの身元や動機を特定していません。しかし、研究者はターゲットが主に米国、英国、ドイツ、その他のヨーロッパやアジアの地域にあることを指摘しました。
関連:Agentic AIがGartnerのSRMサミットを支配
悪意のあるペイロードは、Cloudflareの「trycloudflare[.]com」トンネリングサービスにホストされています。「このサービスは、開発者がファイアウォールルールを変更したり、静的インフラストラクチャを設定したりせずに、ローカルサーバーをインターネットに一時的に公開するために一般的に使用されます。しかし、近年では、攻撃者によって隠密なペイロード配信やコマンド・アンド・コントロール(C2)通信に悪用されることが増えています」と研究は述べています。
さらにSecuronixは、C2にCloudflareを使用することで、脅威アクターがCloudflareのCDNや信頼された証明書、HTTPSの使用によるペイロードの自動暗号化を利用できる利点があると説明しています。さらに、「trycloudflare[.]comは正当なテストおよび開発用途を意図しているため、多くの組織は明示的にそのトラフィックをブロックしたり監視したりしていません。」
PeckはDark Readingに対し、キャンペーンの各部分が以前に何らかの形で使用されたことがあるが、それらの部分が組み合わされる方法がSerpentine#Cloudを注目すべきものにしていると述べています。研究も同様にこの高度さについて言及しています。
関連:マルチリージョンクラウドアーキテクチャのセキュリティの落とし穴と解決策
「Serpentine#Cloudキャンペーンは、ソーシャルエンジニアリング、生活の中での技術、回避的なメモリ内コード実行を組み合わせた複雑で層状の感染チェーンです」とSecuronixは述べています。「この活動の背後にいる脅威アクターは、どのようにしてステルス性を保ちながらシステムにバックドアを仕込むことができるかについて、新たな洞察と検出の機会を提供しています。スクリプトやさまざまなファイルタイプの進行的な使用によって真の意図を隠すことにより、最終的なペイロードがメモリ内でアクティブになるまでの長い難読化の道をたどります。」
研究には、追加の技術的詳細や侵害の指標が含まれています。
対策
新しい研究で概説された攻撃チェーンはフィッシングメールから始まるため、通常のベストプラクティスが適用されます。出所をすぐに確認できないメールの添付ファイルを開いたりダウンロードしたりしない(特に外部からのものである場合)、ユーザー教育に投資し、フィッシングキャンペーンで脅威アクターが使用する典型的な手法やファイルタイプを学び、添付ファイルをダウンロードするために外部リンクを使用するメールに注意を払うことが重要です。
Peckは、防御者および脅威研究者として、「エンドポイント検出に重点を置くことをお勧めします」と述べています。
「過去に多くの場面でエンドポイントが見過ごされることが多いのを見てきました。サーバーや重要なインフラを保護したいと考えていますが、これらの感染がどこから始まるのかを理解する必要があります」とPeckは言います。「今、誰もドメインコントローラーでメールをチェックしていないことを願っています。」
翻訳元: https://www.darkreading.com/cloud-security/serpentinecloud-cloudflare-tunnels-sneak-attacks