APT41(Winntiとしても知られている)に関連した新しいLinux対応のサイバー攻撃キャンペーンが、機密認証情報を盗むために設計されたステルスバックドアでクラウド環境を狙っています。
セキュリティ研究者は、AWS、Google Cloud、Microsoft Azure、およびAlibaba Cloudを含む主要なクラウドプラットフォーム全体で積極的に動作している、以前に検出されていなかったELFマルウェアサンプルを発見しました。
このマルウェアが際立つ理由は、発見時にセキュリティプラットフォームで検出がゼロだったためです。
これはストリップされた静的リンク64ビット実行ファイルであり、分析をより難しくし、従来の防御を回避するのに役立ちます。クラウドサーバーにデプロイされると、マルウェアは静かに認証情報とメタデータを収集し、攻撃者にクラウドリソースへの深いアクセスを与えることができます。
このバックドアは、複数のクラウドプロバイダーから認証情報を収集するために特に設計されています。
これはAWS、Azure、Google Cloud、およびAlibaba Cloudで使用される内部メタデータサービスにクエリを実行して、アクセストークンと識別情報を取得します。また、認証情報を保存する設定フォルダなどのローカルファイルもスキャンします。
収集されたすべてのデータはAES-256を使用して暗号化され、流出の準備が整えられます。HTTPやHTTPSなどの一般的なウェブベースの通信方法を使用する代わりに、マルウェアはポート25でSMTPを使用します。
これは異常です。なぜならSMTPは通常メールトラフィックに使用されるため、マルウェアは正常なネットワーク活動に溶け込むことができるからです。
攻撃者のコマンドはSMTPレスポンス内に隠されており、盗まれたデータは特別に作成されたメール風メッセージを介して送信されます。この手法は、SMTPトラフィックを深く検査しない多くのセキュリティツールをバイパスするのに役立ちます。
もう1つの主要な機能は、コマンドアンドコントロールサーバーで使用される選択的ハンドシェイクメカニズムです。サーバーは、有効な認証トークンを提示する感染マシンにのみ応答します。
スキャナーまたはセキュリティツールが接続しようとすると、通常のSMTPサービスのみが表示され、すぐに切断されます。これにより、悪意のあるインフラはインターネットスキャンツールに対して事実上見えなくなります。
攻撃者は、正当なAlibaba Cloudサービスを模倣するタイポスクワッティングドメインを使用してコマンドサーバーをホストしています。
これらのドメインは短い24時間以内に登録されており、調整されたインフラストラクチャセットアップを示しています。コマンドサーバー自体はシンガポールのAlibaba Cloudでホストされています。
マルウェアはローカルネットワーク内でUDPブロードキャストメッセージを送信することで、横方向の移動もサポートします。これにより、感染したマシンは外部サーバーに大きく依存することなく、互いに検出し通信することができます。
セキュリティチームは、異常なSMTPトラフィックを監視し、疑わしいドメインをブロックし、クラウドメタデータサービスへのアクセスを監査することをお勧めします。
攻撃者が技術を継続的に改善する中で、クラウド環境を保護するには、より深い可視性と厳しいアクセス制御が必要です。
翻訳元: https://cyberpress.org/apt41-targets-linux-clouds/
