企業がクラウドサービスへの依存を高める中で、「陸地で生きる」は「クラウドで生きる」へと進化している。
攻撃者は、信頼されたSaaSプラットフォーム、クラウドインフラストラクチャ、および身元確認システムを悪用して、悪意のある活動を正当なエンタープライズトラフィックに混在させるようになっている。
敵対者は、OpenAIやAWSなどの高い評判を持つサービスを通じてコマンドアンドコントロール(C2)を推し進め、通常のビジネストラフィックに混在してブロックリストを回避しようとしている。
「陸地で生きる」から「クラウドで生きる」へのシフトは、企業がIT基盤をAWS、Azure、Google Cloudなどのハイブリッド・クラウド環境に移行する中で、攻撃者がどのように適応してきたかを反映している。
「PowerShellやWMI[Windows Management Instrumentation]などのローカルバイナリを悪用して検出を回避する代わりに、敵対者は現在、ネイティブクラウド管理ツール、API、身元確認システム、および管理コンソールを活用して正当な機能を使用して操作している」と、Mitigaの脅威ハンティング・対応サービス責任者のArif Khanは述べている。「クラウド環境は本来的にAPIドリブンであるため、有効な認証情報またはトークンを取得した攻撃者は、ルーチン的に見える管理呼び出しを通じてリソースを列挙し、データを抽出し、特権を昇格させ、永続性を維持することができる。」
クラウドベースのシステムをハッキングすることは、ドメイン評判と静的ブロックリストに大きく依存する従来の防御を回避する。クラウドから攻撃インフラストラクチャを実行することで、攻撃をより簡単に実行できるようになる。
「攻撃者は、攻撃インフラストラクチャの一部として正当なクラウドサービスをますます使用している」と、Detectifyのセキュリティ研究者兼共同創設者のFredrik Almrothは述べている。「自分たちのコマンドアンドコントロールサーバーを運用する代わりに、クラウドストレージ、コラボレーションツール、またはAI APIなどの信頼できるプラットフォームを通じてトラフィックをルーティングしている。防御側にとっては、評判の良いプロバイダーへの日常的なトラフィックに見える可能性がある。」
以下は、攻撃者がクラウドベースのサービスを悪用してさまざまな攻撃を実行する方法の例である。
GoogleとMandiantの研究者は最近、検出を回避するために正当なGoogle Sheetsの機能を悪用していた疑いのある中国のサイバースパイ活動(UNC2814)を中断した。
キャンペーンの中心にあるGridtideマルウェアは、C2のための脅威アクター制御のGoogleスプレッドシートに接続し、効果的に通常のネットワークトラフィックに混在することを可能にした。
マルウェアはGoogle SheetsをライブされたたC2データベースとして扱い、Service Accountトークンを使用して特定のセルをポーリングして指示を取得してから、タスクの結果を隣接する列に書き戻している。
「これは、アクターが独自のカスタムインフラストラクチャを作成・維持する代替案として、SaaSプラットフォームの悪用でますます成功を収めているという継続的なトレンドの一部である」とGoogleの研究者によると。
信頼できるAPIでコマンドアンドコントロールを隠す
攻撃者はまた、OpenAI APIなどの信頼できるサービスを通じてC2トラフィックをルーティングするマルウェアを作成している。
「マルウェアは正当なコーポレートSharePointまたはOneDriveテナントに認証され、Graph APIを使用してcmd.txtなどのコマンドファイルを読み取り、’output’ファイル(例えばresults.json)をユーザーの個人バックアップのように見えるフォルダに直接書き込む」と、シニアオフェンシブセキュリティエンジニアのKwangyun Keumは説明している。
オブジェクトストレージでのマルウェアのステージング
攻撃者は、2段階目のペイロードまたは設定ファイルを、自分たちのサーバーの代わりにクラウドストレージサービス(例えば、S3互換バケット)に保存するようになっている。
「これらのファイルは必要な場合にのみプルダウンされ、ディスク上のマルウェアのフットプリントを削減し、攻撃者がマルウェアを再展開することなくペイロードを交換できるようにする」とPeneto LabsのJegatheesan氏は述べている。
信頼できるサービスを介したデータ流出
Nightwingのサイバーインシデント対応マネージャーであるNicholas Carrollによると、攻撃者は従来のFTPドロップまたはリスキーなpastebin(テキストストレージ)サイトから、SlackやDiscordなどの日常的なクラウドベースの企業通信ツールを介して大量の機密データを流出させることにシフトしている。
Carrollは、最近の攻撃キャンペーンで脅威アクターが「侵害されたサーバーを設定してapi.slack.com、hooks.slack.com、またはdiscord.comへのHTTPS POSTリクエストを実行した」と述べており、これらのエンドポイントを使用して「AWS Access Keys、SSH keys、および内部APIトークンなどの厳密に監視されたシークレットを攻撃者制御のチャットチャネルに直接流出させた」と述べている。
クラウド内完全に含まれるハイブリッドおよびマルチステージのキルチェーン
複数のキャンペーンが完全なクラウドネイティブ攻撃チェーンを実証しており、中国のサイバースパイグループにリンクされたキャンペーンを含む。
「2024年3月以来、Genesis Pandaは攻撃チェーン全体にわたってクラウドサービスを体系的に武装させてきた。AWS Instance Metadata Service(IMDS)にクエリを実行して認証情報を収集し、クラウドストレージを使用してペイロードをホストし、正当なクラウドサービスになりすますドメイン経由でC2をルーティングし、クラウドコンピュートを使用してデータを流出させている」と、CrowdStrikeのデータ、AI、およびサイバーセキュリティの主要エンジニアであるDiptamay Sanyalは述べている。
「ここではクラウドはターゲットではなく、それは運用全体のバックボーンである」とSanyalは付け加える。
信頼できるプラットフォーム経由のフィッシングとソーシャルエンジニアリング
攻撃者はますます正当なクラウドインフラストラクチャにルアーとログインページをホストしている。
例えば、ロシアに関連するハッキンググループCozy Bear(APT 29)は、フィッシングの最も一般的な赤旗である疑わしいドメインを削除して、本物のMicrosoftログインページにリダイレクトするフィッシングリンクを配信した。
「被害者は正当なMicrosoftインフラストラクチャだけを見たため、従来のURLベースの検出は無用になった」とCrowdStrikeのSanyalは述べている。
サーバーレスおよび一時的インフラストラクチャの悪用
攻撃者は、AWS LambdaやAzure Functionsなどのサーバーレスサービスを悪用してネットワーク偵察とスキャンを実行している。
このタクティックはSoutheast Asiaの政府機関を対象とするHazyBeaconキャンペーン中に展開され、Palo Alto NetworksのUnit 42脅威インテリジェンス部門によって明らかにされた。
「単一の侵害されたサーバーからターゲットをスキャンする代わりに(IPはすぐにブロックされる)、攻撃者は数千の一時的なLambda関数をスピンアップする」と、Whisper Securityの共同創設者兼CEOであり、RIPE NCCの元CIO/CTOであるKaveh Ranjbarは述べている。「各関数はターゲットネットワークの小さなスライスをスキャンしてから終了する。」
トラフィックは絶えず回転する高い評判のAmazon IPから発生している。エンタープライズファイアウォールは、正当なAWSサービスへの独自のアクセスを損なうことなく、これらのIPをブロックすることはできない。「攻撃者は効果的にAmazonの評判を通じてトラフィックを「マネーロンダリング」している」とRanjbarは付け加える。
クラウドトンネリング
敵対者は、主要なクラウドプロバイダーでホストされている正当な「トンネリング」サービスを利用して、インバウンドファイアウォールルールを回避している。
「攻撃者は内部サーバーを侵害するが、企業ファイアウォールのためにコマンドをリッスンするポートを開くことができない」と、Whisper SecurityのRanjbarは説明している。「そのため、Cloudflare Tunnelまたはngrokエージェントをインストールしている。このエージェントはクラウドプロバイダーへのアウトバウンド接続を開始し、これは通常許可されている。」
Ranjbarは付け加える:「セキュリティチームにとって、これはCloudflareまたはAWSに向かう正当な暗号化されたHTTPSトラフィックのように見える。実際には、信頼できるインフラストラクチャをキャリアとして使用して、周辺防御を通じてトンネルする安定したC2チャネルである。」
EBSスナップショット共有
Scattered SpiderやStorm-0501などのサイバー犯罪グループは、「スナップショット共有テクニック」を悪用し、プロセス中に高い影響を持つIaaS攻撃ベクトルを作成している。
このアプローチは、クラウドの管理層を武装させることで、従来のネットワークセキュリティを回避する。
「悪意のあるファイルをダウンロードする代わりに、敵対者は被害者サーバーのハードドライブ全体の「写真」スナップを作成し、ModifySnapshotAttribute APIを使用して攻撃者が制御する外部クラウドアカウントと単純に「共有」する」と、オフェンシブセキュリティエンジニアのKeumは述べている。「攻撃者はその後スナップショットを復元し、「オフライン」認証情報ダンプなどの攻撃を実行している。」
Entra IDテナント関係を介した信頼の悪用
CrowdStrikeによると、中国に関連するアクターMurky Pandaは、上流のITサービスプロバイダーを侵害して、信頼できるEntra ID(旧Azure AD)テナント接続を通じて下流の被害者に静かにピボットした。
Entra IDテナント設定にハッキングして管理者特権を取得することは、ランサムウェアグループStorm-0501のトレードクラフトの特徴でもある。
クラウドボールトから直接シークレットを取得する
Storm-0501などのグループは、より広いランサムウェアと恐喝キャンペーンの一部として、AWS Secrets Managerなどのクラウドネイティブシークレットストアを悪用して認証情報を収集している。
「エンドポイントから認証情報をダンプする代わりに、攻撃者はクラウドAPI経由でシークレットに直接クエリを実行する」とPeneto LabsのJegatheesan氏は述べている。「これはエンドポイント検出を回避し、多くのセキュリティチームが監視する頻度が少ない場所に攻撃をシフトさせている。」
ボイドに触れる
悪者たちは、カスタムローダー、インプラント、ルートキット、およびモジュール型プラグインで構成され、侵害されたターゲットの永続性を実現するように設計されたクラウドネイティブマルウェアを構築している。
例えば、VoidLinkは、AWS、Azure、GCP、およびKubernetesクラスターなどの主要なクラウドインフラストラクチャを侵害するために目的で構築された非常に高度なマルウェアフレームワークである。このフレームワークは、明らかに中国に関連する開発者によって構築・保守されており、Check Pointの研究者によって最初に特定された。
