サイバーセキュリティ研究者は、有名なRemcos Remote Access Trojan (RAT)をデプロイするために信頼できるGoogleのインフラストラクチャを利用する、極めて回避的なフィッシングキャンペーンを発見しました。
新しく登録されたドメインではなく、Google Cloud Storage上に悪意のあるHTMLページをホストすることで、脅威アクターは従来の評判ベースのセキュリティフィルターを効果的に回避しています。
このキャンペーンは、被害者を騙して機密認証情報を提供させるGoogle Driveの詐欺的なおとり行為として始まり、その後、複雑な複数段階のマルウェア配信プロセスを開始します。
初期のJavaScriptファイルはWindows Script Host (WSH)ランチャーとして機能します。自動分析環境での即座の検出を回避するために、時間ベースの回避技術を採用しています。
このスクリプトは最初のVisual Basic Script (VBS)段階にスムーズに移行し、追加コンポーネントをダウンロードしてバックグラウンドで静かに実行します。
攻撃は、侵害されたマシン上に強固な足がかりを確立するために、一連の正確なイベントに依存しています。
このキャンペーンの最も危険な側面の1つは、最終的なペイロードを隠すために正当なMicrosoftファイルを悪用することです。
攻撃者は、完全に正当な署名済み.NETバイナリであり、WindowsにネイティブなRegSvcs.exeを活用しています。
このファイルは本物なので、VirusTotalなどの脅威インテリジェンスプラットフォーム上でクリーンなハッシュを持ち、基本的なファイル評判チェックでは検出されず、トリアージ中のアラート優先度を低下させます。
認識可能なマルウェア実行可能ファイルをハードドライブに落とす代わりに、攻撃者はRegSvcs.exeを一時フォルダにコピーします。
その後、プロセスホローイングと呼ばれる技術を使用して、悪意のあるRemcos RATコードをこの信頼できるバイナリのメモリ空間に直接インジェクトします。
これにより、部分的にファイルレスの感染が発生します。オペレーティングシステムおよび多くのセキュリティモニターにとって、それは通常実行されている標準的なMicrosoftサービスのように見えますが、実際には、隠されたRemcos RATが積極的にそのCommand and Control (C2)サーバーに接続しています。
Security Operations Centers (SOCs)は、異常なスクリプト実行、ネイティブWindowsバイナリから発信される予期しないネットワーク接続、およびプロセスホローイングを示す異常なメモリ割り当てを監視する必要があります。
既知の侵害指標 (IOC)を追跡し、脅威インテリジェンスプラットフォームを通じてピボットすることにより、組織は検出カバレッジを検証し、これらのステルス的なインシデントをより迅速に封じ込めることができます。
翻訳元: https://cyberpress.org/google-storage-drops-remcos/