Cloudflare Tunnelを悪用してリモートアクセス型トロイの木馬を配布する脅威アクター

 (proofpoint.com)
2 ポイント 投稿者 GN⁺ 2024-08-03 | 1件のコメント | WhatsAppで共有

主な発見

  • Proofpointは、TryCloudflare Tunnelを悪用したマルウェア配布の増加を確認した
  • この活動は金銭的動機に基づいており、リモートアクセス型トロイの木馬(RAT)を配布している
  • 初期の観測以降、攻撃者は検知を回避し効率を高めるために戦術・技術・手順を変更している
  • Proofpointはこの活動を特定の脅威アクターに帰属させていないが、調査は継続中である

概要

Proofpointは、Cloudflare Tunnelsを悪用してマルウェアを配布するサイバー犯罪活動を追跡している。特に攻撃者は、アカウントを作成せずに使い捨てトンネルを作成できるTryCloudflare機能を悪用している。トンネルは、VPNやSSHプロトコルのように、ローカルネットワーク上にないデータやリソースへリモートからアクセスできるようにする。2024年2月に初めて観測されたこのクラスターは、5月から7月にかけて活動が増加し、ここ数か月の大半のキャンペーンはXwormというRATへとつながった。ほとんどのキャンペーンでは、URLまたは添付ファイルを含むメッセージがインターネット ショートカット(.URL)ファイルへ誘導する。実行されると、WebDAVを通じて外部ファイル共有に接続し、LNKまたはVBSファイルをダウンロードする。実行後、LNK/VBSはBATまたはCMDファイルを起動し、Pythonインストールパッケージと一連のPythonスクリプトをダウンロードしてマルウェアを導入する。場合によっては、search-msプロトコルハンドラーを使用してWebDAV共有上のLNKを検索する。一般にキャンペーンでは、ユーザーに正当なものと見せかけるため、無害なPDFを表示する。

キャンペーン例

AsyncRAT / Xwormキャンペーン 2024年5月28日 Proofpointは、2024年5月28日にAsyncRATとXwormを配布するキャンペーンを観測した。このキャンペーンでは、税金をテーマにしたメッセージがURLファイルを含む圧縮ファイルへ誘導した。このキャンペーンは法務および金融分野の組織を標的とし、総メッセージ数は50件未満だった。URLファイルはリモートのLNKファイルを指していた。実行されると、CMDヘルパースクリプトがPowerShellを呼び出して圧縮済みのPythonパッケージとPythonスクリプトをダウンロードする。Pythonパッケージとスクリプトは、AsyncRATとXwormの導入につながった。

AsyncRAT / Xwormキャンペーン 2024年7月11日 研究者らは、2024年7月11日にCloudflareトンネルを活用してAsyncRATとXwormを配布する別のキャンペーンを観測した。このキャンペーンは、金融、製造、技術などさまざまな分野の組織を標的とし、1,500件を超えるメッセージを含んでいた。このキャンペーンでは、HTML添付ファイルがsearch-msクエリを含み、LNKファイルを指していた。実行されると、難読化されたBATファイルがPowerShellを呼び出し、PythonインストールパッケージとスクリプトをダウンロードしてAsyncRATとXwormを実行した。

帰属

キャンペーンで観測された戦術・技術・手順(TTP)に基づき、Proofpointはこれを関連活動の1つのクラスターと評価している。研究者らはこの活動を特定の脅威アクターに帰属させていないが、調査は継続中である。

重要性

Cloudflareトンネルの利用は、攻撃者に一時的なインフラを使って運用を拡大できる柔軟性を与える。これにより、防御側や従来のセキュリティ対策が静的なブロックリストに依存することが難しくなる。一時的なCloudflareインスタンスは、攻撃者にとって、検知および削除への露出を最小限に抑えながら攻撃を準備できる低コストの手段となる。攻撃者がマルウェア配布にPythonスクリプトを使用している点は注目に値する。Pythonライブラリと実行ファイルのインストーラーをPythonスクリプトと一緒にパッケージ化すれば、以前にPythonがインストールされていないホスト上でもマルウェアをダウンロードして実行できる。組織は、個人の職務機能に必要でない場合、Pythonの使用を制限すべきである。ここ数か月、ProofpointはJavaベースのマルウェアを配布するキャンペーンも観測しており、ZIP内にJARとJava Runtime Environment(JRE)を含め、適切なソフトウェアがインストールされた後にダウンローダーまたはドロッパーを実行させている。攻撃チェーンは最終ペイロードを実行するために被害者のかなりの操作を必要とする。これは、受信者が不審な活動を識別し、攻撃チェーンを妨害できる複数の機会を提供する。

Emerging Threats署名

Emerging Threatsルールセットには、このキャンペーンで特定されたマルウェアを検出するルールが含まれている。 例:

  • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
  • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes(Client)
  • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed

侵害指標の例

指標 説明 初観測
spectrum-exactly-knitting-rural[.]trycloudflare[.]com Trycloudflareホスト 2024年5月
53c32ea384894526992d010c0c49ffe250d600b9b4472cce86bbd0249f88eada .URL SHA256 2024年5月
a79fbad625a5254d4f7f39461c2d687a1937f3f83e184bd62670944462b054f7 LNK SHA256 2024年5月
0f1118b30b2da0b6e82f95d9bbf87101d8298a85287f4de58c9655eb8fecd3c6 CMD SHA256 2024年5月
157[.]20[.]182[.]172 Xworm C2 IP 2024年5月
dcxwq1[.]duckdns[.]org AsyncRAT C2 2024年5月
a40f194870b54aeb102089108ecf18b3af9b449066a240f0077ff4edbb556e81 HTML SHA256 2024年7月
3867de6fc23b11b3122252dcebf81886c25dba4e636dd1a3afed74f937c3b998 LNK SHA256 2024年7月
ride-fatal-italic-information[.]trycloudflare[.]com Trycloudflareホスト 2024年7月
0fccf3d1fb38fa337baf707056f97ef011def859901bb922a4d0a1f25745e64f BAT SHA256 2024年7月
todfg[.]duckdns[.]org AsyncRAT C2 2024年7月
welxwrm[.]duckdns[.]org Xworm C2 2024年7月
xwor3july[.]duckdns[.]org Xworm C2 2024年7月

GN⁺の要約

  • この記事は、Cloudflareトンネルを悪用したマルウェア配布の増加を扱っている
  • 攻撃者はPythonスクリプトを使ってマルウェアを配布しており、これが検知と削除を難しくしている
  • 組織はPythonの使用を制限し、外部ファイル共有サービスへのアクセスを制限すべきである
  • 類似機能を持つ別のプロジェクトとして、さまざまなセキュリティソリューションがある

関連記事

1件のコメント

 
GN⁺ 2024-08-03
Hacker Newsのコメント

  • マルウェアが怪しい .ru ドメインや IP アドレスから配布されていた時代は終わった

    • 現在の脅威アクターは GCP、AWS、Azure、Cloudflare などのインフラを利用している
    • VPN も一般ユーザーと同じものを使っている
    • IP アドレスやドメイン名は、セキュリティ指標として有用ではなくなった
    • すべてのトラフィックと名前解決が暗号化され、ネットワーク運用者はインターネット上の活動を把握できなくなっている
    • これはプライバシーと匿名性を改善し、非効率なネットワークセキュリティソリューションを減らし、根本的なセキュリティ問題の解決を強いる

  • リンク短縮サービスを通じたマルウェア配布についての見出しにはうんざりしている

    • 人々がさまざまな方法でファイルをインターネット上にホスティングできること自体は驚くべきことではない

  • Cloudflare の無料メール転送サービスが停止された理由は悪用のためだった

    • 良いサービスも悪用されれば停止せざるを得ない

  • Cloudflare Tunnel を通じて悪意あるペイロードを含む Web ページをホスティングできる

    • ニュース価値はないと思う

  • すべての無料トンネリング製品は、悪用されれば結局有料化される

    • ngrok も最初は手軽だったが、悪用のために登録手順を導入せざるを得なくなった

  • 1年前に TryCloudflare の悪用について書いた

    • アカウントなしで使えるため、追跡はほぼ不可能だ

  • Cloudflare のカスタムエラーページのプレビュー機能には脆弱性があった

    • ログイン認証情報を取得できた
    • JWT トークンを追加して修正されたが、バグバウンティは支払われなかった
    • TryCloudflare にも似たような問題があるのではないかと疑っている

  • PGP 初期の分散信頼ネットワークというアイデアはどうなったのだろうか

    • 今ではソーシャルメディアアカウントのフォロワー数などを基に信頼が形成されている

  • エンドポイントセキュリティ製品がこの種の攻撃を検知できるのか気になる

    • 攻撃者が既知の RAT を再利用しない限り、検知されないだろうと思う

  • "I hope this message finds you well" という文句を見ると、即座にスパム/詐欺の警報が鳴る