Google Sheets を悪用するマルウェア：基本的な技術／機能による巧妙な手口とは？

Cyberattackers Exploit Google Sheets for Malware Control in Likely Espionage Campaign

2024/08/30 TheHackerNews — Google Sheets を Command and Control (C2) メカニズムとして悪用する、新しいマルウェア・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。この、Proofpoint により検出された活動は、2024年8月5日から始まり、世界中の 70 を超える組織を標的にしているようだ。具体的に言うと、ヨーロッパ／アジア／米国における税務当局になりすまし、情報を収集して追加のペイロードを配信するために、Voldemort と呼ばれる独自のツールを使っている。

このキャンペーンが標的とするのは、政府／電力／金融／保険／通信／航空宇宙／輸送／学術／製造／医療／自動車／テクノロジー／ホスピタリティ／メディア／社会福祉などの組織である。

このサイバー・スパイ活動は、特定の脅威アクターによるものとは特定されていに。分かっていることは、攻撃の一環として、最大で 20,000 件の電子メール・メッセージが送信されていることだ。

これらのメールは、米国／英国／フランス／ドイツ／イタリア／インド／日本の税務当局を装うものであり、受信者に対して納税申告の変更を促し、中間的なランディング・ページへとリダイレクトするための、Google AMP Cache URL をクリックするよう、ユーザーを仕向ける。

このページでは、User-Agent 文字列を調べて、ユーザーのオペレーティング・システムが Windows であることを確認する。そして、Windows の場合には、”search-ms: URI” プロトコル・ハンドラーを悪用して、Windows ショートカット (LNK) ファイルを表示する。このショートカットが、被害者をだまして起動させるものだが、Adobe Acrobat Reader を用いて PDF ファイルを装っている。

Proofpoint の研究者である Tommy Madjar／Pim Trouerbach／Selena Larson は、「この LNK が実行されると、PowerShell が呼び出され、同じトンネル (\library) 上の３番目の WebDAV 共有から Python.exe が実行され、同じホスト上の４番目の共有 (\resource) にある、Python スクリプトが引数として渡される。それにより、Python はファイルをダウンロードせずにスクリプトを実行し、依存関係は WebDAV 共有からダイレクトにロードされる」と述べている。

この Python スクリプトによりシステム情報が収集されるが、攻撃者が制御するドメインへ向けて、Base64 エンコードされた文字列の形式で、データを送信するようにも設計されている。その後に、ユーザーに対してデコイ PDF を表示し、パスワードで保護された ZIP ファイルを、OpenDrive からダウンロードさせる。

この ZIP アーカイブには、DLL サイドローディングの影響を受けやすい、正規の実行型ファイルである “CiscoCollabHost.exe”と、サイドローディングさせるための悪意の DLL ファイル “CiscoSparkLauncher.dll” の、２つのファイルが取り込まれている。つまり、後者の DLL ファイルが Voldemort である。

Voldemort は、C 言語で記述されたカスタム・バックドアであり、情報収集を行う一方で、次のステップのためのペイロードをロードするための機能を備えている。そして、このマルウェアは Google Sheets を悪用することで、C2 通信を確立してデータを流出させるが、オペレーターから受け取ったコマンドも実行する。

Proofpoint は、「この活動は、APT (Advanced Persistent Threat) の手口に似ているが、電子犯罪の分野で一般的な手法も使用しているため、サイバー犯罪の雰囲気がある。この脅威アクターは、マルウェアのステージングのために、ファイル・スキーマ URI を悪用して、外部のファイル共有リソースである WebDAV と Server Message Block にアクセスする。そこで用いられる、スキーマ「file://」により、悪意のコンテンツをホストするリモート・サーバーを指すことで、一連の処理が進められていく」と述べている。

このアプローチは、イニシャル・アクセス・ブローカー (IAB：initial access brokers) として機能する、Latrodectus／DarkGate／XWorm などのマルウェア・ファミリーに普及している。

さらに Proofpoint は、Google Sheets コンテンツの読み取りに成功し、合計で 6人の被害者を特定できたと述べている。そのうちの１ 人は既知の研究者もしくは、サンドボックスであると考えられている。

このキャンペーンは異例のものであり、広範囲に攻撃網を張り巡らせた脅威アクターたちが、少数のターゲットに狙いを定めている可能性が高まっている。また、さまざまな専門知識を持つと推測される攻撃者が、複数の組織に感染させるための計画を、立案したという可能性も生じている。

研究者たちは、「このキャンペーンで発見された特徴の多くは、サイバー犯罪者による脅威活動と一致しているが、それは序章に過ぎない。現時点では不明である、最終目的を支援するために行われた、スパイ活動の可能性が高いと評価している。きわめて基本的な技術と機能を組み合わせた、巧妙で洗練された機能のフランケンシュタイン的な融合が実践されている。そのため、攻撃者の能力レベルを評価すること、そして、キャンペーンの最終目的を高い信頼性で判断することが、困難になっている」と述べている。

先日には、Netskope Threat Labs が、Latrodectus の更新バージョン 1.4 を発見している。このバージョンには、新しい C2 エンドポイントが付属しており、指定されたサーバからシェルコードをダウンロードして、リモートから任意のファイルを取得する、２つの新しいバックドア・コマンドが追加されている。

セキュリティ研究者である Leandro Froes は、「Latrodectus は急速に進化しており、ペイロードに新しい機能を追加している。このペイロードに適用された更新を理解することで、防御側は自動化されたパイプラインを適切に設定し、その情報を使用することで、新たな亜種を探し出せる」と指摘している。

Google Sheets を悪用するマルウェアが登場とのことですが、”ついに” という感じですね。この Google Office が立ち上げられたころは、脅威アクターから見て、それほど魅力的なユーザーはいなかったはずですが、いまでは、数多くの大手企業も利用し始めています。そうなると、必然的に、攻撃の対象にされてしまいます。よろしければ、Google + Cloud で検索も、ご利用ください。