TokyoBlackHatNews

gbhackers.com 5分で読了

AsyncRATとCloudflare無料枠インフラの悪用:検知と分析

サイバーセキュリティ研究者は、Cloudflareの無料枠サービスとTryCloudflareのトンネリングドメインを悪用し、正規のインフラを利用した多段階の感染チェーンを通じてリモートアクセス型トロイの木馬(RAT)のペイロードを配布しながら、検知回避を図る高度なAsyncRATキャンペーンを発見しました。

このAsyncRAT作戦の背後にいる脅威アクターは、Cloudflareの信頼されたインフラを武器化してWebDAVサーバーをホストし、従来のセキュリティソリューションを回避する正規ドメインの下に悪意ある活動を効果的に隠蔽しています。

攻撃は、Dropboxリンクを含むフィッシングメールから始まり、被害者はPDFファイルに偽装された悪意あるファイルをダウンロードするよう誘導されます。

これらのインターネットショートカットファイルは、plus-condos-thy-redeem.trycloudflare.com や owners-insertion-rentals-pursuit.trycloudflare.com など、複数のTryCloudflareドメイン上でホストされたWebDAVリソースへリダイレクトし、複雑な多段階感染プロセスを開始します。

Image
Trend Vision Oneを用いて相関付けした、観測されたAsyncRAT感染チェーン。

AsyncRATは、ソーシャルエンジニアリング、正規ツールの悪用、そしてWindowsシステムを標的とする高度なコードインジェクション手法を組み合わせた先進的な技術を示しています

技術的な攻撃チェーン

被害者が悪意あるショートカットファイルを開くと、攻撃は後続の感染段階を統括するWindows Script Hostファイル(as.wshおよびanc.wsf)をダウンロードします。

これらのスクリプトは、バッチファイル(vio.batおよびxeno.bat)をダウンロードします。これらは、公式PythonサイトからPython 3.14.0を直接取得して侵害されたシステム上に完全なPython環境を構築する役割を担っており、セキュリティ監視ツールには正当な動きに見える手法です。

このキャンペーンは、実行中に正規のPDF文書を表示するという高度な欺瞞戦術を用いており、具体的にはihk.deから請求書をテーマにした文書をダウンロードして、被害者に通常の業務文書を開いたと思い込ませます。

一方で、悪意あるペイロードはバックグラウンドで静かに実行され、永続化の仕組みを確立し、追加コンポーネントをダウンロードします。

攻撃者は、システム再起動時にマルウェアが実行されることを保証するスタートアップフォルダーのスクリプト(ahke.batおよびolsm.bat)など、複数のベクターを通じて永続性を確保します。

同時に、rundll32.exeがdavclnt.dllのDavSetCookie関数を、WebDAVサーバー(plus-condos-thy-redeem.trycloudflare[.]com)とSSL接続を指定するパラメーター付きで実行します。

Image
plus-condos-thy-redeem.trycloudflare[.]com(104[.]16[.]230[.]132:443)への接続。

このキャンペーンは、Windows Script Host、PowerShell、rundll32.exe、WebClientサービスなど、Windows標準ユーティリティを用いた「Living-off-the-Land」手法を活用しており、検知を著しく困難にしています。

Pythonベースのコードインジェクション

攻撃の中核は、正規のWindowsプロセス内で任意のコードを実行するために、多態的非同期プロシージャコール(APC)インジェクションを実行するPythonスクリプト(ne.py)です。

このスクリプトは、付随するテキストファイル(a.txt)に保存されたキーを用いてメインペイロード(new.bin)を復号し、AsyncRATのシェルコードをexplorer.exeプロセスへ注入します。これにより攻撃者は、キーロギング、画面キャプチャ、リモートコマンド実行などを含む包括的なリモートアクセス機能を得ます。

Image
explorer.exeへのコードインジェクション。

分析の結果、このシェルコードは、位置独立型シェルコードを作成するオープンソースフレームワークであるDonutを用いて生成されていたことが判明し、脅威アクターの技術的成熟度と高度な悪用手法に関する知識を示しています。

Trend Vision Oneは、このキャンペーンに関連する侵害指標(IOC)を正常に検知・ブロックし、顧客に対して目的に合わせた脅威ハンティング用クエリ、脅威インサイト、インテリジェンスレポートを提供します。

セキュリティ研究者は、異常なWebDAV接続、PowerShellの実行パターン、ユーザーディレクトリへの不正なPythonインストールの監視などを含む、多層防御アプローチの重要性を強調しています。

組織は、メールセキュリティ制御の強化、二重拡張子ファイルを用いたフィッシングの見分け方に焦点を当てたユーザー啓発トレーニング、TryCloudflareドメインへの接続に対するネットワーク監視を実装すべきです。

このキャンペーンは、脅威アクターが正規のクラウドサービスや信頼されたインフラを悪用してペイロード配布およびC2(コマンド&コントロール)運用を行う場合、悪意ある活動を見分けることがいかに難しいかという継続的な課題を浮き彫りにしています。

翻訳元: https://gbhackers.com/asyncrat-abuse-of-cloudflare/

ソース: gbhackers.com
#AsyncRAT #Cloudflare #Living-off-the-Land(LOTL) #TryCloudflare #WebDAV #Windows #コードインジェクション(APC) #フィッシング #リモートアクセス型トロイの木馬(RAT) #多段階感染

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚