出典:David Chapman(Alamy Stock Photo)
新たに出現したフィッシングキャンペーンが、正規のCloudflareサービスとオープンソースのPythonツールという危険な組み合わせを悪用し、汎用マルウェアであるAsyncRATを配布している。この攻撃は、検知を回避し被害者環境への永続的なリモートアクセスを確立するために、脅威アクターが正規サービスとオープンソースツールの悪用をますます強めていることを示している。
Trend Microの研究者が発見したこのキャンペーンは、Cloudflareの無料枠サービスとTryCloudflareのトンネリングドメインを利用して攻撃者サーバーをホスティングし、信頼されたインフラの下に悪意ある活動を偽装している。これにより、従来のセキュリティソリューションでは検知が困難になる一方で、ペイロードの確実な配布が可能になるという。月曜日に公開されたブログ投稿で述べられている。
さらにTrend Microの研究者は、この攻撃が公式ソースからの正規のPythonダウンロードを用いることで、人気のPythonプログラミング言語も悪用していると述べた。実際、被害者システム上に完全なPython環境を構築し、「高度なコードインジェクション手法」を実行することで、悪意ある活動に正当性のベールを与えている。
「Pythonベースのスクリプトを利用し、Cloudflareの無料枠インフラを悪用して悪性ペイロードをホスティングすることで、攻撃者は信頼されたドメインの下に活動をうまく隠し、従来のセキュリティ制御を回避した」と、Trend Microの脅威研究者は投稿で記している。
悪性ファイルで使用されている言語がドイツ語であることから、攻撃者は欧州の組織を標的にしている可能性が高い。しかし、AsyncRAT攻撃で用いられる手口は、他の脅威キャンペーンでも以前に文書化されており、攻撃者がさらに広範な組織を標的にしている可能性も示唆される。
研究者はまた、このキャンペーンでどの企業や業界が標的になっているかについては明らかにしていない。ただし、誘導文句の一つが請求書や請求関連であることから、さまざまな種類の企業組織が影響を受ける可能性がある。
AsyncRATを配布するための欺瞞
このキャンペーンは、潜在的な被害者を混乱させると同時に、プロセス全体を通じて信頼を得るソーシャルエンジニアリング手法に依存している。攻撃の流れは、Dropboxリンク経由で配布されるフィッシングメールから始まり、注文に関する請求書を装った誘導文句を用い、悪意あるアーカイブファイルへのリンクを含む。リンク先のファイルは二重拡張子(.pdfurl)を使用して被害者を欺くことを狙っているが、実行時には正規のPDF文書を表示して初期の疑念を減らす、と研究者は指摘している。
標的がそのファイルを開くと、TryCloudflareドメイン上でホストされた多段階スクリプトをダウンロードするようリダイレクトされ、これも攻撃者の検知回避に役立つ。これらのスクリプトはPython環境をインストールしてスタートアップフォルダーのスクリプトで永続化を確立し、その後Pythonを用いてexplorer.exeにコードをインジェクトする。
最終的にこのプロセスにより、最終ペイロードであるAsyncRATが配布される。AsyncRATは市販のマルウェアで、モジュール型アーキテクチャによりカスタマイズや展開の柔軟性が高いことから攻撃者に好まれている。機能には、キーロギング、画面キャプチャ、リモートコマンド実行などが含まれる。
いったん読み込まれると、このRATはスタートアップフォルダーのスクリプト(ahke.bat、olsm.bat)、WebDAVのマウント、そしてWindows Script Host、PowerShell、組み込みのシステムユーティリティを用いて検知を回避する正規の「Living-off-the-Land」手法など、複数のベクターを通じて永続性を確保すると研究者は述べた。
フィッシングは依然として有効な侵入経路
何十年にもわたり攻撃ベクターとして使われてきたにもかかわらず――つまり現時点では防御側や潜在的被害者の双方にとって非常に見分けやすいはずであるにもかかわらず――フィッシングは依然として、攻撃者にとって人気が高く効果的な初期侵入手法であり続けている。
Trend Microが示した具体的な攻撃は、脅威アクターの間で、マルウェアを配布・実行するためにクラウドトンネリングや正規のホスティングサービスを悪用するという継続的な傾向を浮き彫りにしている。これにより、攻撃者は自前のインフラを構築する必要がなくなるだけでなく、悪意ある活動が正当なものに見えるようになる。
こうした高度な手口は、攻撃者の絶え間ない進化に対して「組織が多層防御のセキュリティアプローチを採用し、警戒を維持する必要性」を強調している、と研究者は指摘した。
Trend Microはブログ投稿において、この攻撃に関する侵害指標(IoC)を掲載し、防御側に向けた他の実践的なセキュリティ助言も提供した。研究者が強調した推奨事項の一つは、迷惑な添付ファイルやリンクに含まれるファイルの二重拡張子のリスクを認識することで、これは悪意ある活動を示すものだと投稿では述べられている。
また組織は一般的なルールとして、悪意ある添付ファイルやURLを検知・ブロックできる高度なメールセキュリティソリューションを導入し、スクリプトベースの攻撃やコードインジェクション手法を特定して遮断するために、行動分析を備えたエンドポイント検知・対応(EDR)ソリューションを展開すべきだ。
攻撃者が正規のクラウドサービスを利用してマルウェアを展開するのを防ぐため、防御側はまた、業務運用に不要なクラウドサービスへのアウトバウンド接続(無料枠のトンネリングやファイルホスティングプラットフォームを含む)を監視し、制限すべきだと研究者は助言している。
翻訳元: https://www.darkreading.com/endpoint-security/attackers-abuse-python-cloudflare-deliver-asyncrat
