AsyncRATを展開するサイバー犯罪者は、Cloudflareの無料プランサービスおよびTryCloudflareのトンネリングドメインを悪用してWebDAVサーバーをホスティングし、信頼されたインフラの背後に悪意ある活動を効果的に隠しています。
この高度な手法により、従来のセキュリティソリューションでの検知は非常に困難になる一方、被害者システムへのペイロード配信の信頼性が確保されます。
このキャンペーンは、受信者を欺くために二重拡張子(.pdf.url)手法を用いてファイルを配布するDropboxリンクを含むフィッシングメールから始まります。
被害者がこれらのファイルを開くと、TryCloudflareドメインから多段階のスクリプトをダウンロードすると同時に、正規のPDF文書を表示して疑念を抱かせないようにします。
このキャンペーンの特に注目すべき点は、正規のPythonディストリビューションを公式のPython.orgソースから直接ダウンロードすることです。
攻撃者は侵害されたシステム上に完全なPython環境を構築し、それを用いてexplorer.exeプロセスを標的とする高度なコードインジェクション手法を実行します。
マルウェアは複数の永続化ベクターを通じて長期的なアクセスを確保します。攻撃者はスタートアップフォルダーのスクリプトを展開し、Windowsへのユーザーログイン時に自動実行されるahke.batおよびolsm.batファイルなどを含めます。
このキャンペーンはまた、WebDAVのマウント機能を活用してコマンド&コントロールインフラとの接続を維持します。
脅威アクターは「Living-off-the-Land」手法を広範に用い、Windows Script Host、PowerShell、ネイティブのシステムツールなど、Windowsに組み込みのユーティリティを活用します。
このアプローチにより、悪意ある活動を正規のシステム操作に紛れ込ませることができ、検知の取り組みを大幅に困難にします。
Cloudflareの広く信頼されているインフラを活用することで、攻撃者はURLに「trycloudflare.com」を含む正規に見えるドメインの背後に、悪意あるWebDAVサーバーを巧妙に隠蔽することに成功しています。
Trend Microの報告によれば、セキュリティソリューションはCloudflareのトラフィックをホワイトリスト化していることが多く、脅威アクターはこの有効な盲点を悪用して、AsyncRATのペイロードを検知されることなく配信します。
このプラットフォームは、Cloudflareのサービスを悪用するAsyncRAT感染を特定して対応するために、顧客に対して専門的な脅威ハンティング用クエリ、詳細な脅威インサイト、実行可能なインテリジェンスレポートを提供します。
翻訳元: https://cyberpress.org/asyncrat-cloudflare-free-tier-malware-abuse/