ハッカーはGoogle Cloud Storageを悪用してメールおよびウェブフィルターをバイパスし、ソーシャルエンジニアリングとファイルレスの多段階実行チェーンを組み合わせた説得力のあるGoogle Driveをテーマとしたフィッシングキャンペーンを通じてRemcos RATを配信しています。
フィッシングメールはGoogle Cloud Storageバケットへリンクし、「com-bid」または「contract-bid-0」という名前で、標準的なGoogle Driveドキュメントアクセスリクエストのように見えるものを提示しています。
送信とホスティングインフラの両方がGoogleに属しているため、メッセージはDMARC、SPF、DKIMチェックに合格し、レガシーなセキュアメールゲートウェイを通過することが多いです。
ANY.RUN研究者は最近、フィッシング操作を文書化しました。このフィッシング操作はstorage.googleapis.comで悪意のあるHTMLをホストし、Googleの信頼されたクラウドインフラを悪用してURLおよびレピュテーションベースのフィルタリングを回避しています。
被害者がクリックすると、Google Driveスタイルのログインページに移動します。このページは正当なGoogle Workspaceのフローに密接に模倣し、ロゴとなじみのあるファイルタイプアイコンが完備されています。
これらのページはパスワードとワンタイムパスコードを含む完全なアカウント認証情報を収集してから、被害者をマルウェア配信フェーズに移動させます。
多段階で主にファイルレスの感染チェーン
「成功した」認証後、ユーザーはBid-Packet-INV-Document.jsという名前のJavaScriptファイルのダウンロードを促されます。これはビジネスドキュメントまたは入札パケットとして提示されます。
Windows Script Hostの下で実行されるこのスクリプトには、悪意のあるアクティビティを遅延させ、短い分析ウィンドウを持つ自動サンドボックスを回避するための時間ベースの回避機能が含まれています。
スクリプトは次にVBSベースのチェーンを起動します。初期VBSダウンローダーは、%APPDATA%\WindowsUpdateのようなフォルダにコンポーネントをドロップし、再起動を生き残るためにスタートアップの永続性を構成する2番目のVBSステージを取得します。
PowerShellスクリプト(例:DYHVQ.ps1)は、一時的な.tmpファイルとして保存された難読化実行可能ファイルの読み込みを制御し、同時にテキストホスティングサービスから追加の.NETローダーを取得し、Assembly.Loadを使用してメモリ内で直接実行します。これはディスクに検出可能なペイロードを書き込むことを避けるためです。
.NETローダーはプロセスホローイングのために署名されたMicrosoftバイナリRegSvcs.exeを悪用し、%TEMP%から信頼されたプロセスを開始し、Remcosペイロードをそのメモリ空間に注入します。
これにより、悪意のある動作が正当で清潔なレピュテーションプロセスの内部で実行される部分的にファイルレスのRemcosインスタンスが生成され、静的なファイルハッシュベースのEDRルールはほぼ無効になります。
アクティブになると、Remcos RATは暗号化されたコマンドアンドコントロール通信を確立し、HKEY_CURRENT_USER\Software\Remcos-{ID}などのレジストリキーの下に永続性エントリを書き込みます。
この機能により、1つの侵害されたエンドポイントが、ランサムウェアの展開、横方向の移動、および機密ドキュメントまたは顧客記録のデータ流出のための長期的な足がかりに変わります。
レガシーディフェンスが失敗する理由
このキャンペーンは、攻撃者がどのように主要なクラウドプロバイダーの信頼を「借りる」のかを示しており、明らかに悪意のあるインフラを立ち上げる代わりにそうしています。
Google StorageとMicrosoftの署名付きバイナリの両方は強力なレピュテーションスコアを持っており、既知の悪いドメイン、ハッシュ、または静的なインジケータに依存するフィルターは、疑わしいものを見ることはめったにありません。
重い難読化、時間遅延実行、メモリ内読み込みと組み合わせると、このアプローチは悪意のあるトラフィックとバイナリがどのように見えるかについての従来の仮定を破ります。
ANY.RUNの2025年マルウェアトレンドレポートは、RATおよびバックドアが普及率の急上昇を記録し、多段階の信頼されたクラウドフィッシングが現在主要な配信ベクトルになっていることを指摘しており、なぜ初期の動作ベースの検出が現在単なる技術的目標ではなくビジネス継続要件になったのかを強調しています。
これらの攻撃に対抗するために、ディフェンダーはリンクがクリックされた後に実際に何が起こるか、またはスクリプトが実行される際にプロセスツリー、レジストリ変更、ネットワークビーコンを追跡して分析し、レピュテーション単独を信頼する代わりにそうする必要があります。
ANY.RUNのクラウド環境などのインタラクティブなサンドボックスにより、アナリストはフィッシングURLからRemcos C2コールバックまでの完全なチェーンを手動で駆動し、時間遅延およびアンチオートメーションロジックを打ち破り、キルチェーンのあらゆるステージを公開できます。
この動作マップから、チームはMITRE ATT&CKにマップされた技術、シグマルール、およびSIEM、EDR、ネットワークコントロール全体で操作可能な具体的なIOCを導き出すことができます。
ANY.RUNの脅威インテリジェンスルックアップおよび脅威インテリジェンスフィードは、C2 IP、異常なRegSvcs.exe動作、および特定のスクリプト署名などのインジケータを大規模なコミュニティデータセット全体で相関させることにより、この利点を拡張し、関連するRemcosアクティビティを表面化させ、高忠度で悪意のあるのみのインジケータをSOCワークフローにフィードします。
「正当な」インフラが日常的に兵器化される時代では、次の入札ドキュメントがRATを本番環境にドロップする前に、信頼悪用フィッシングを検出および封じ込めるには、このような動作およびインテリジェンス駆動型の防御が不可欠です。
翻訳元: https://gbhackers.com/google-cloud-storage-abused/
