サイバー攻撃の最新動向:クラウドからトロイの木馬を振り撒く攻撃者たち

New Cyberattack Campaign Uses Public Cloud Infrastructure to Spread RATs

2022/01/13 DarkReading — 最近の攻撃キャンペーンには、パブリック・クラウドのインフラを利用して、コモディティ RAT である Nanocore/Netwire/AsyncRAT の亜種を配信し、ユーザーのデータを標的にするものが見られると、研究者たちが報告している。この、10月に発見された攻撃キャンペーンは、攻撃者が自身でインフラをホストせずに目的を達成するために、クラウド利用を増やしていることが明示されていると、Cisco Talos の研究者たちが報告している。

最新の事例としては、Microsoft Azure や Amazon Web Services などのクラウド・サービスを利用して、攻撃を仕掛ける脅威アクターがいるという。

研究者たちはブログで、「Azure や AWS のようなクラウド・サービスを利用することで、攻撃者は最小限の時間と費用でインフラを構築し、インターネットに接続できる。また、この戦略にはもう1つの利点がある。つまり、攻撃者の活動を防御側が追跡することが、より困難になる」と付け加えている。

このインシデントにおける被害者の大半は、米国/イタリア/シンガポールにいると、CiscoSecure 製品のテレメトリが示している。 攻撃者が標的としている Remote Administration Tools (RATs) は、環境を制御し、コマンドをリモートで実行するため、情報を盗むための複数の機能を備えていることになる。

この攻撃は、悪意の ZIP ファイルを添付したフィッシング・メールから始まる。この ZIP ファイルは、JavaScript/Visual Basic Script/Windows Batch ファイル形式のローダーを含む ISO イメージである。攻撃者は、このメールに偽の請求書ファイルを添付することで、受信者を騙そうとする。

このキャンペーンの背後にいる未知の攻撃者は、ダウンローダーに4段階の難読化を施している。難読化の各段階は、次の段階の復号化手法につながり、最終的には最終ペイロードのダウンロードにつながる。最初のスクリプトがターゲットマシン上で実行されると、次のステージをダウンロードするためのサーバーに接続される。このダウンロード・サーバーは、Azure ベースの Windows サーバーや AWS の EC2 インスタンスにホストされている可能性があると、研究者は述べている。

このマルウェアを配信するために、攻撃者は無料のダイナミック DNS サービスである DuckDNS を利用し、複数の悪意のサブドメインを登録した。DuckDNS は、ユーザーがサブドメインを作成し、DuckDNS のスクリプトを使ってレコードを維持するためのサービスだ。悪意のサブドメインの中には、Azure Cloud 上のダウンロードサーバーに解決するものもあれば、RAT の Command and Comtrol として運用されているサーバーに解決するものもある。

Talos の Head of Uutreach である Nick Biasini は、「これは、いまの企業が直面している課題の好例だ。悪意のメールと、不明瞭な添付ファイル、複数の難読化レイヤーを使用して、何らかのリモートアクセス機能を実現している。つまり、我々がよく目にする技術の多くの要素が、1つのキャンペーンに集約されている」と述べている。

今回の攻撃で確認されたペイロードは、他のキャンペーンで頻繁に使用されているコモディティ RAT である。もう1つの NetwireRAT も既知の脅威であり、パスワード/ログイン情報/クレジットカード・データを盗むために使用されている。NetwireRAT は、リモートからのコマンド実行や、ファイル・システム情報の収集なども可能にする。

3つ目のペイロードである AsyncRAT は、暗号化された接続を介して標的のマシンをリモートで監視/制御するように設計されている。このキャンペーンでは、AsyncRATクライアントが C2 サーバーに接続するように設定され、被害者のデバイスへのリモート・アクセスが行われる。そして、キーロガー/スクリーン・レコード/システム構成マネージャなどの、いくつかの機能を使ってデータが盗み出される。

Nick Biasini によると、被害者が受け取るペイロードは通常1つだが、Talos の研究者は、複数の RAT などのペイロードが、ターゲット・システムに投下されるケースを確認している。

クラウドへの需要の高まり

Biasini によると、攻撃者がパブリック・クラウドのインフラを悪用するケースを、研究者たちが頻繁に目にしていると言う。その理由の1つは、攻撃者たちは日和見主義者であり、目的を達成するために利用できるプラットフォームなら、何でも利用するからである。Azure と AWS は、どちらも主要なクラウド・プラットフォームであり、攻撃者がキャンペーンにおいて、それらを利用するのは当然のことだ。

また、攻撃者にとっては、アクセスが主な目的であるという傾向もあり、その結果として、パブリック・クラウドの利用が増加しているのかもしれない。

Biasini は、「ランサムウェアのカルテルや関連組織は、被害者の身代金を稼ぐために莫大な金額を稼いでおり、また、イニシャルのリモート・アクセスを、ダークウェブから購入している。すべての脅威アクターが、このような領域で活動したいと思っているわけではないが、イニシャルのアクセスを販売することで、経済的に有利になっていく」と述べている。

攻撃者たちが利用しているのは、クラウド・インフラだけではない。昨年も、企業ネットワークに蔓延したマルウェアの 3分の2 は、Google Drive/OneDrive などのクラウド・アプリから発生したものであることが、新たな調査で明らかになった。今日の企業が、クラウド・アプリケーションからマルウェアをダウンロードされる可能性は、他のソースよりも高くなっている。つまり、クラウドを利用する攻撃者にとって、利便性とコストが有利に働くためだと専門家は考えている。

Cisco Talos の研究者たちは企業に対して、クラウド・サービスへ向けた送信接続に、悪意のトラフィックが含まれないことを検査するようアドバイスしている。また、企業へ向けたトラフィックを監視し、エンドポイントのスクリプト実行ポリシーに関するルールを、導入していく必要があると指摘している。

クラウドの利便性は、ランサムウェア・ギャングにとっても有益というわけで、これも TTP (Tactics/Techniques/Procedures) の1つになるのでしょう。2021年9月に「ランサムウェア攻撃の進化:いまでは驚異的なレベルに達している」という記事をポストしていますが、そこにはクラウドに関する記載がありません。そう考えると、脅威アクターたちの TTP が、さらに多様化していくことも予測されます。

%d bloggers like this: