最近発見されたフィッシングキャンペーンは、Remcos遠隔アクセストロイの木馬(RAT)を配信するためにGoogle Cloud Storageを悪用しており、信頼されたGoogleインフラストラクチャと署名付きのMicrosoftバイナリに依存して従来の防御を回避しています。
攻撃者は、正当なドメインstorage.googleapis.comで偽のGoogle Driveログインページをホストしており、URLをユーザーとセキュリティツール両方に信頼できるものに見えるようにしています。
自分たちのドメインを登録する代わりに、彼らはGoogleのインターフェースとブランディングを密接に模倣した工作されたHTMLページをアップロードします。
この操作は、評判ベースのフィルタリングだけではもはや現代的な認証情報盗難とマルウェア配信を停止するのに十分ではないことを明らかにしています。
ページは被害者のメールアドレス、パスワード、ワンタイムパスコードを要求し、実質的に完全なアカウントアクセスを取得します。Googleのインフラストラクチャを使用することは、よく知られたクラウドプロバイダーを優遇するいくつかのメールフィルターとURL評判チェックをフィッシングリンクがバイパスするのに役立ちます。
多段階感染チェーン
「成功した」ログイン後、サイトはユーザーにBid-Packet-INV-Document.jsという名前のJavaScriptファイルのダウンロードを促します。ドキュメントまたは入札パケットとして提示されます。
実行されると、このスクリプトはWindows Script Host下で実行され、時間ベースの回避ロジックを含み、次段階VBSスクリプトを起動します。
最初のVBS段階は別のVBSファイルをダウンロードして静かに実行し、%APPDATA%\WindowsUpdateの下にコンポーネントをドロップしてStartup永続化を構成し、マルウェアがリブート後も存続するようにします。
PowerShellスクリプト DYHVQ.ps1が、ZIFDG.tmpとして保存されている難読化されたポータブル実行可能ファイルの読み込みを調整します。これはRemcos RATペイロードを含みます。
ステルス状態を保つため、チェーンはテキストホスティングサービス(Textbin)から追加の難読化された.NETローダーをフェッチします。Assembly.Load経由でメモリに直接ロードします。
.NETローダーは、フレームワークディレクトリにある正当なMicrosoftの.NET Services Installation Toolである RegSvcs.exeを悪用してプロセスホローイングを行います。
RegSvcs.exeはMicrosoftによって署名されており、VirusTotalの評判も通常良好であるため、そのエグゼキューションはエンドポイントログに無害に見えます。
ローダーは%TEMPからRegSvcs.exeを作成または開始し、プロセスをホローしてRemcosペイロードをインジェクトするため、悪意のあるロジックのほとんどはメモリ内でのみ実行されます。
これにより、部分的にはファイルレスなRemcosインスタンスが生成され、信頼できるプロセス名の背後に隠れながら、その指令統制(C2)サーバーと通信します。
検出と防御の推奨事項
セキュリティチームは、Google クラウドドメインまたは署名されたWindowsバイナリに関するアラートを分類する際に、ドメインまたはファイルの評判だけに依存すべきではありません。
行動サンドボックスとEDRテレメトリが重要です。防御者は、疑わしいスクリプトチェーン(JS → VBS → PowerShell)、%APPDATAの異常なWindowsUpdate様フォルダの作成、%TEMPなどの非常に典型的でないパスからのRegSvcs.exeの起動を監視すべきです。
ネットワークコントロールは、スクリプトエンジンの実行と新しく生成された.NETプロセスに続く送信接続に、特にstorage.googleapis.comリンクへのアクセスが先行する場合にフラグを付けるべきです。
最後に、ユーザー認識キャンペーンは、よく知られたクラウドプロバイダーを指すリンクでさえもフィッシングページとマルウェアをホストできること、および「ドライブドキュメント」からの予期しないログインプロンプトまたはスクリプトダウンロードは慎重に扱うべきであることを強調する必要があります。
翻訳元: https://gbhackers.com/phishing-campaign-exploits-google/
