Remcos RATは、Google Cloud Storageと信頼できるGoogleドメインを悪用して検出を回避し、認証情報窃盗とステルスの多段階マルウェアチェーンを組み合わせた新しいフィッシングキャンペーンで配信されています。
ANY.RUNの研究者は最近、storage.googleapis.com上に悪意あるHTMLページをホストし、Google Driveスタイルのドキュメント囮を使用してユーザーを騙すフィッシング操作を分析しました。
リンクが正当なGoogle Cloud Storageインフラストラクチャを指しているため、DMARC、SPF、DKIM確認がすべて有効に見え、ドメインの評判が良好に見えるため、多くのセキュアメールゲートウェイとウェブフィルターはメッセージを通過させます。
フィッシングページはGoogle DriveビューアーとWorkspaceログインを密接に模倣し、Googleブランディング、ファイルタイプアイコン、「ドキュメントを表示するにはサインイン」というプロンプトを含んでいます。これにより、定期的にクラウドドキュメントを使用するユーザーの疑いを減らします。Google Cloud StorageインフラストラクチャGoogle Cloud Storageインフラストラクチャ
このキャンペーンは、攻撃者が複数のレベルで信頼を武器化する方法を示しています。Google Cloud Storageは信頼できるホスティングドメインを提供し、メール認証スタックは正常に検証され、RegSvcs.exeはログに無害なMicrosoftバイナリとして表示されます。
ドメイン評判、静的署名、または単純なファイルハッシュに依存する従来のフィルターは、特にgoogleapis.comと署名付きWindowsバイナリが日常的に許可される環境では、このアクティビティを見逃す可能性があります。
その結果、検出までの平均時間は大幅に延びる可能性があり、攻撃者に権限昇格、ネットワーク内でのピボット、追加システムの侵害を行う時間が数時間から数日与えられます。
企業にとって、フィッシングが経営幹部、財務、および調達の役割をターゲットにする場合、財務ワークフロー、機密文書、第三者関係へのアクセスが集中しているため、リスクは増幅されます。
単一の侵害されたエンドポイントは、直接的な金融詐欺、データ保護違反、ランサムウェアインシデント、およびベンダー環境が関与している場合はサプライチェーンの連鎖的な露出につながる可能性があります。
セキュリティチームは、スクリプト生成チェーン(JS → VBS → PowerShell)、異常なRegSvcs.exeアクティビティ、メモリ内.NETアセンブリ読み込み、およびサンドボックスで観察されたRemcosインフラストラクチャに関連する異常な外部接続を監視する行動検出を優先する必要があります。
行動中心のサンドボックス化と高忠実度の脅威インテリジェンスは、これらの信頼インフラストラクチャ攻撃に対する重要な制御として出現しています。
その脅威インテリジェンス検索とフィードは、この可視性を環境全体に拡張し、SOCチームが単一の観察されたインジケータからより広いキャンペーンへピボットするのを支援し、その後、プロアクティブハンティングと自動ブロッキング用に検出スタックにユニークな行動豊富なインジケータをプッシュします。
翻訳元: https://cyberpress.org/google-cloud-delivers-remcos/