出典:Aleksia(Alamyストックフォト経由)
攻撃者は、Amazon Web Services(AWS)Lambdaや他の正規サービスを悪用し、その悪意ある活動を隠蔽する独自のコマンド&コントロール(C2)手法を用いて、新種のWindowsリモートアクセス型トロイの木馬(RAT)で東南アジアの政府機関を標的にしています。
Palo Alto NetworksのUnit 42の研究者は、「CL-STA-1020」として追跡している「疑わしい活動のクラスター」を発見しました。これは、同地域の政府機関から情報を窃取しており、最近の関税や貿易紛争に関するデータも含まれていると、ブログ記事(7月14日公開)で明らかにしました。
このキャンペーンは、いくつかの理由で注目に値すると研究者は指摘しています。第一に、新たに発見されたWindows用のバックドア「HazyBeacon」を使用していること。第二に、AWSのサーバーレスコンピューティングサービス「Lambda」の正規機能であるLambda URLsを悪用し、「悪意ある活動をあたかも通常の通信のように隠し、信頼性が高く、スケーラブルで、検知が困難な通信チャネルを作り出している」とPalo Alto Networksのシニア脅威リサーチャー、Lior Rochberger氏は記事で述べています。
AWS Lambda URLsは、ユーザーがHTTPS経由でサーバーレス関数を直接呼び出すことを可能にするAWS Lambdaの一部です。この攻撃では、HazyBeaconバックドアがこのサービスを利用してC2通信を確立し、攻撃者が秘密裏に情報収集活動を行えるようにしています。
攻撃者はまた、窃取したデータの持ち出しにも正規のインフラを悪用しており、Google DriveやDropboxを持ち出しチャネルとして利用することで「通常のネットワークトラフィックに紛れ込ませている」とRochberger氏は付け加えています。「このキャンペーンは、攻撃者が正規で信頼されたクラウドサービスを悪用する新たな手法を見つけ続けていることを浮き彫りにしています。」
マルウェアバックドアが「サイドドア」から侵入
Trellixの研究者が最初に明らかにしたのは、Lambdaを使ってC2活動を隠蔽する攻撃者の手法であり、6月下旬のレポートによると「このような隠蔽は、復号や高度な行動分析なしではネットワークベースの検知をほぼ不可能にする」と指摘しています。
Unit 42が観測した攻撃では、HazyBeaconがこの方法でC2通信を行っています。しかし、まず攻撃者はダイナミックリンクライブラリ(DLL)サイドローディングを利用し、バックドアをC:\Windows\assembly\mscorsvc.dllに悪意あるDLLとして設置し、正規のWindows実行ファイルmscorsvw.exeと並べて配置します。
「mscorsvw.exeが登録されたWindowsサービスによって起動されると、正規のMicrosoftライブラリの代わりに悪意あるDLLが読み込まれました」とRochberger氏は述べています。「その後、攻撃者が管理するLambda URLに接続しました。」
バックドアの展開時、攻撃者はWindowsサービス「msdnetsvc」を作成して、感染したWindows端末上で持続性も確立します。これにより、システムが再起動されてもHazyBeacon DLLが読み込まれるようになります。
AWS Lambdaの悪用
AWS Lambdaの悪用は、悪意あるDLLであるmscorsvc.dllがAWS Lambda URLを通じてC2チャネルを確立する際に発生します。AWS Lambdaは、サーバーのプロビジョニングや管理を必要とせず、イベントに応じてコードを実行します。2022年に導入されたLambda URLs機能は、顧客がLambda関数用の専用HTTPSエンドポイントを設定できるようにするものです。
「これらのエンドポイントにより、複雑なAPI Gatewayの設定を必要とせず、標準的なWebリクエストで関数を直接呼び出すことができます」とRochberger氏は述べています。この機能を悪用することで、攻撃者はC2トラフィックを正規のAWS通信に紛れ込ませ、従来のネットワーク検知を回避できると述べています。
観測された攻撃でマルウェアが攻撃者管理のLambda URLエンドポイント(<redacted>.lambda-url.ap-southeast-1.on[.]aws)にビーコン通信を開始すると、コマンドの実行や追加ペイロードのダウンロード指示を受信し始めました。その結果、HazyBeaconはファイル収集や偵察のためのさまざまなペイロードをC:\ProgramDataにダウンロード・保存しました。
クラウドリソースの利用状況を追跡し、サイバー脅威を軽減
正規の通信をAWSや他のクラウドサービス内で行う(新規アカウントの作成や侵害されたアカウントの利用を含む)手法は、攻撃者の間でますます一般的になっていると研究者は指摘しています。このため、セキュリティチームはクラウドリソースの利用状況を強化して監視し、異常な活動をいち早く把握できるようにすることが重要だとRochberger氏は述べています。
「こうしたチームはまた、信頼されたクラウドサービスとの通信における疑わしいパターンを識別できる検知戦略を策定し、この種の攻撃をより適切に検知・防止すべきです」と同氏は付け加えています。
Unit 42は、潜在的な攻撃を特定するための侵害指標(IoC)のリストを記事内で公開しています。防御側は、これらのIoCで機械学習モデルや分析手法をトリガーできるように設定したり、クラウド環境内で悪意ある挙動を持つプロセスの実行を検知・ブロックするための行動ベースの脅威防御を活用することができます。
翻訳元: https://www.darkreading.com/cloud-security/attackers-abuse-aws-southeast-asian-governments-novel-rat