出典: Eyewave via Alamy Stock Photo
攻撃者は、正規のオープンソースツールを悪用して Amazon Web Services(AWS) のSimple Email Service(SES)を乱用し、認証情報を盗み、組織内に侵入してネットワーク偵察を実行している。一部のケースでは、脅威アクターは侵害された環境を利用して、その後の ビジネスメール詐欺(BEC)攻撃を行うことさえある。
新たに出現した脅威キャンペーンでは、盗まれた認証情報を使って、Amazonのメール自動化サービスであるSESを標的にしている。これは、オープンソースのスキャニングツールTruffleHogを中心に構築された、大規模な攻撃インフラ「TruffleNet」を通じて行われていると、Fortinet AIの 調査は伝えている。攻撃者はTruffleNetを設計し、「侵害された認証情報を体系的にテストし、AWS環境全体で偵察を行う」ようにしたと、Fortinet AIのScott Hall氏は投稿で述べている。
「複数の認証情報が侵害された1件のインシデントでは、57の異なるクラスCネットワークにまたがる800以上のユニークなホストからの活動を記録しました」と同氏は書いている。攻撃者はTruffleHogだけでなく、「オープンポートやPortainerの存在といった一貫した構成」を利用することでこれを実現した。Portainerは、コンテナのデプロイとオーケストレーションを簡素化する、DockerおよびKubernetes向けのオープンソース管理UIだ。
Portainerもまた正当なツールではあるが — このケースではDevOpsワークフローのために管理者に広く利用されている — 攻撃者はこれを、悪意あるインフラを管理するための集中ダッシュボードとAPIを提供する軽量なコントロールパネルとして悪用することもできる。これにより、敵対者は最小限の労力で多数のノードを統制できると、Hall氏は指摘している。
関連記事:OllamaおよびNvidiaの脆弱性がAIインフラを危険にさらす
TruffleNetクラウドサイバー攻撃の仕組み
攻撃者がTruffleNetをAWS環境に接続する最初の方法は、GetCallerIdentityへの単純な呼び出しを通じてであり、これは 盗まれた認証情報が有効かどうかをテストするために使用される。悪意あるインフラには、AWSのコマンドラインインターフェイス(CLI)を利用してSESの「GetSendQuota」APIをクエリするコンポーネントも含まれており、これは「SES乱用の初期段階で頻繁に見られる呼び出し」であると、Hall氏は述べている。
TruffleNetで使用されたIPのほとんどには、アンチウイルスや悪評に関する検出が一切なかった。これは、このインフラが攻撃者によって特定の目的のために構築されたことを示唆している。「ほとんどのクラウドベースの攻撃では、送信元IPアドレスはVPN、Torノード、その他の不正活動に関連付けられていることが多い」とHall氏は指摘した。
同様に、これらの送信元ホストからは、フォローオンのアクションや権限昇格は試行されておらず、観測されたのはGetSendQuotaとGetCallerIdentityの呼び出しだけだった。「このパターンは、インフラが階層化されている可能性を示しており、一部のノードは偵察専用、他のノードは 攻撃の後期段階に予約されていると考えられます」と同氏は書いている。
関連記事:40万のWordPressサイトに影響する重大なサイト乗っ取りの脆弱性
侵害後に下流で発生するBEC攻撃
研究者らが観測した BEC攻撃は、偵察活動が悪意あるインフラに関連付けられて観測されたことから、TruffleNetと関連している可能性が高いとHall氏は述べている。攻撃者は、侵害された環境内でAmazon SESを悪用し、以前に侵害されたWordPressサイトからのDomainKeys Identified Mail(DKIM)を用いて送信元アイデンティティを確立した。
悪意あるドメインの1つであるcfp-impactaction.comは、その後、石油・ガス業界を標的とした「BECベンダーオンボーディングW-9詐欺」で使用されたと、Hall氏は記している。「攻撃者はZoomInfoを名乗る請求書を送り、5万ドルのACH支払いを要求しました」と同氏は説明した。
BECメッセージに添付されていたW-9には、メールの信頼性を高めるために、なりすましに使われた企業の公開されている雇用者ID番号が記載されていた。また、このメールは、BEC詐欺メールの受信者に対し、支払いに関する問い合わせをtyposquattingされたアドレスであるzoominfopay[.]comに送るよう指示していたと、Hall氏は付け加えた。
AWSに対するアイデンティティ侵害の悪用
TruffleNetは、特にAWSに対して、アイデンティティ侵害がクラウドインフラにとって最も差し迫った脅威の1つであり続けていることを示している。攻撃者は、有効なAWSキーを入手すると、違法なメールオペレーションを大規模に展開するために SESを頻繁に乱用していると、Hall氏は観察している。
関連記事:Kimsuky、韓国ユーザーを標的にHTTPTroyバックドアを投入
この悪意あるインフラの発見はまた、「脅威アクターがどれほど迅速に戦術を進化させ、クラウドインフラを大規模に悪用して従来型のセキュリティコントロールを回避しているか」を示していると、同氏は述べた。
「認証情報の窃取、偵察の自動化、SESの乱用を組み合わせることで、敵対者は正規のサービスを兵器化し、最小限の検知で大量の詐欺やビジネスメール詐欺を実行できる」とHall氏は書いている。
企業がクラウドサイバーリスクを軽減する方法
こうした進化するクラウドへの脅威によるリスクを軽減するために、防御側は継続的な監視、最小権限アクセス、行動分析を実装すべきだとFortinet AIは述べている。アイデンティティ駆動型のクラウド脅威には特定の種類の 可視性と保護が必要であり、組織は異常な活動を検知し、自社ネットワークの認証情報が盗まれてさらなる悪意ある活動に悪用されないようにしなければならない。
特にコンポジットアラート技術は、クラウドベースの攻撃の複数の側面を評価するのに役立つ。これには、異常なクラウド接続や不審な自動化活動、通常とは異なるユーザー行動や期待されるパターンからの逸脱、TruffleHogや類似ユーティリティを含む攻撃ツールの使用、そして一般的な SES乱用の兆候などが含まれると、Hall氏は述べている。
「コンポジットアラートは、従来のポイントベースの検知をすり抜けがちなアイデンティティ侵害の検出に非常に有効です」と同氏は書いている。「有効な認証情報は一見正当なものに見えるため、明確な侵害の兆候が存在しない場合、標準的な監視をすり抜けてしまう可能性があります。」
したがってコンポジットアラートは、ネットワークと行動の両方の異常を分析し、「クラウド攻撃とアイデンティティの不正使用に対する高い信頼度のアラートを生成できる」と同氏は説明している。
著者について
Elizabeth Montalbanoは、25年以上のプロとしての経験を持つフリーライター、ジャーナリスト、セラピューティックライティングのメンターである。専門分野はテクノロジー、ビジネス、カルチャー。かつてはフェニックス、サンフランシスコ、ニューヨーク市でフルタイムのジャーナリストとして生活し働いていたが、現在はポルトガル南西海岸の小さな村に在住している。自由時間には、サーフィン、愛犬とのハイキング、旅行、音楽演奏、ヨガ、料理を楽しんでいる。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/trufflenet-attack-stolen-credentials-aws
