攻撃者が、悪名高いSorillusリモートアクセス型トロイの木馬(RAT)およびフィッシング攻撃を用いて、Google Firebase Hostingのインフラを悪用していることが確認されました。
この新たな脅威は、eSentireのセキュリティオペレーションセンター(SOC)が、製造業の顧客ネットワーク内で不審なコードを検知した際に観測されました。
セキュリティ専門家は、2023年7月13日に公開したアドバイザリの中でこの新たな脅威について説明し、攻撃者が悪性コンテンツを隠蔽できるという理由でFirebase Hostingを利用していると述べました。
「2023年6月の最近の事例では、当社の[SOC]が、製造業の顧客ネットワーク内のエンドポイントでレジストリに書き込まれた不審なコードについて警告を受けました」とブログ投稿には記されています。
「調査により、Sorillus RATとフィッシングページが、HTMLスマグリングされたファイルおよびGoogleのFirebase Hostingサービスを用いたリンクによって配信されていることが特定されました。」
特に攻撃者は、Firebaseの正当性を利用してSorillus RATを配信しました。Sorillus RATは、リモートアクセスとデータ窃取を可能にするJavaベースの商用マルウェアです。
Firebaseのセキュリティに関する詳細: クラウドの設定ミスにより、数千のモバイルアプリがユーザーデータを露出
攻撃は、被害者がフィッシングメールを開き、無害に見える税務関連のファイルを開くよう誘導されることから始まりました。添付ファイルには、被害者のシステム上でSorillus RATを実行するJavaペイロードが隠されていました。
さらに調査では、Google Firebase Hostingに大きく依存する、巧妙に難読化されたフィッシングキットが見つかりました。このフィッシングキャンペーンは、Cloudflareを含む複数のクラウドサービスを利用して、説得力のあるMicrosoft 365ログインページを作成していました。
前述のとおり、攻撃者はこれらクラウドプラットフォームの信頼性を悪用して、セキュリティフィルターや自動スキャナーを回避し、検知を困難にしていました。
eSentireの脅威対応ユニット(TRU)は、このような高度な攻撃に対する防御のための重要な知見と推奨事項を提供しました。
同ユニットは、アンチウイルスのシグネチャを最新の状態に保つこと、そして次世代アンチウイルスまたはエンドポイント検知・対応(EDR)ツールを採用することの重要性を強調しました。さらに、不要なシステムからはJavaを削除し、潜在的に危険なファイルを開く際には注意するようシステムを設定することを提案しました。
eSentireのブログ投稿は、ESETがAhMyth をベースとする新しいモバイルRATがAndroid端末に感染していることに関する調査結果を共有してから数か月後に公開されました。
翻訳元: https://www.infosecurity-magazine.com/news/sorillus-rat-phishing-google/
