Cloudflareトンネルを悪用してRATを配布する脅威アクター
(proofpoint.com)- 2024年2月から観測されているサイバー犯罪活動で、TryCloudflare Tunnel を悪用してマルウェアを配布しており、5〜7月に活動が増加、最近のキャンペーンの大半はXwormにつながっている
- 攻撃はメール内のURL・添付ファイルから .URLファイル に誘導し、その後WebDAV、LNK/VBS、BAT/CMD、Pythonインストールパッケージとスクリプトを経てRATをインストールする流れとなっている
- 6〜7月には Xworm の比重が高かったが、以前のキャンペーンではAsyncRAT、VenomRAT、GuLoader、Remcosも使われており、一部のPythonスクリプトは複数のペイロードを分割してインストールする
- キャンペーンは数百〜数万件規模で、世界中の数十〜数千の組織に影響を与え、請求書・文書依頼・配送・税金といった 業務型のおとり と複数言語が活用されている
- 一時的なCloudflareインフラとPythonバンドルによりブロックやテイクダウンは困難になるが、最終実行まではリンクのクリック・ファイル実行・圧縮解除など ユーザー操作 が何度も必要になる
TryCloudflare Tunnelの悪用手法
- 今回の活動は、Cloudflare Tunnelsをマルウェア配布インフラとして活用する サイバー犯罪クラスター である
- 攻撃者が悪用した機能は、アカウント作成なしで使い捨てトンネルを作成できる TryCloudflare である
- トンネルはVPNやSSHのように、ローカルネットワーク外からデータやリソースへリモートアクセスする仕組みとして動作する
- TryCloudflare Tunnelを使うたびに、
trycloudflare[.]comのランダムなサブドメインが生成される- 例:
ride-fatal-italic-information[.]trycloudflare[.]com - このサブドメインへのトラフィックはCloudflareを経由してオペレーターのローカルサーバーへプロキシされる
- 例:
- TryCloudflare Tunnelの悪用は 2023年に広く使われ始め、サイバー犯罪の脅威アクターの間で増加傾向にある
攻撃チェーンとペイロード
- ほとんどのキャンペーンでは、メッセージ内のURLまたは添付ファイルがインターネットショートカットの .URLファイル につながる
- .URLを実行すると、外部ファイル共有に接続してLNKまたはVBSファイルをダウンロードする
- 外部ファイル共有には通常 WebDAV が使われる
- 一部のファイルステージングでは、search-ms プロトコルハンドラーを使ってWebDAV共有からLNKを取得する
- その後、LNK/VBSがBATまたはCMDファイルを実行し、これらのファイルがPythonインストールパッケージと複数のPythonスクリプトをダウンロードしてマルウェアのインストールへつなげる
- ユーザーに正規文書だと誤認させるため、無害なPDF を同時に表示するケースが一般的である
- 6〜7月に観測されたキャンペーンのほぼすべてがXwormを配布していた
- 以前のキャンペーンではAsyncRAT、VenomRAT、GuLoader、Remcosも配布されていた
- 一部のキャンペーンは複数の悪性ペイロードにつながり、それぞれのPythonスクリプトが異なるマルウェアをインストールする
キャンペーン規模とおとり
- キャンペーンメッセージの規模は数百件から数万件まで幅がある
- 影響範囲は世界中の数十〜数千の組織に及んでいる
- おとり言語としては英語のほか、フランス語、スペイン語、ドイツ語が観測されている
- Xworm、AsyncRAT、VenomRATのキャンペーンは、RemcosまたはGuLoader配布キャンペーンより概して 大規模 に実施されている
- おとりのテーマは、業務文脈で開封されやすい題材に集中している
- 請求書
- 文書依頼
- 配送
- 税金
戦術の変化と検知回避
- キャンペーンの戦術・技術・手順は全体として一貫しているが、攻撃者は攻撃チェーンの一部を変えて 高度化と防御回避 を図っている
- 初期キャンペーンのヘルパースクリプトには難読化がほとんど、あるいはまったくなかった
- スクリプトにはコード機能を詳しく説明するコメントも含まれていた
- 2024年6月からはコードに 難読化 が含まれ始めた
- この活動は特定の追跡対象となっている脅威アクターには帰属されておらず、関連キャンペーンのTTPに基づいて1つの活動クラスターとしてまとめられている
2024年5月28日のキャンペーン
- 2024年5月28日のキャンペーンはAsyncRATとXwormを配布した
- 税金をテーマにしたメッセージにURLが含まれ、そのURLは圧縮された .URLファイル につながっていた
- 標的は法律および金融組織で、メッセージ総数は50件未満だった
- .URLファイルはリモートの .LNKファイルを指していた
- 実行されると、CMDヘルパースクリプトがPowerShellを呼び出して圧縮されたPythonパッケージとPythonスクリプトをダウンロードした
- PythonパッケージとスクリプトはAsyncRATとXwormのインストールにつながった
2024年7月11日のキャンペーン
- 2024年7月11日のキャンペーンもCloudflareトンネルを使ってAsyncRATとXwormを配布した
- キャンペーンには1,500件を超えるメッセージが含まれ、金融・製造・技術など複数分野の組織を標的にしていた
- メッセージには、LNKファイルを指す search-msクエリ を含むHTML添付ファイルが含まれていた
- 実行されると難読化されたBATファイルへ進み、このファイルがPowerShellを呼び出してPythonインストールパッケージとスクリプトをダウンロードした
- ダウンロードされた構成要素がAsyncRATとXwormの実行につながった
防御の観点で重要な点
- Cloudflareトンネルは、攻撃者が 一時的なインフラ を使って運用を拡張し、インスタンスを素早く作成・停止できるようにする
- 一時的なCloudflareインスタンスは、静的ブロックリストに依存する従来のセキュリティ対策や防御側にとって、より厳しい条件をもたらす
- Pythonスクリプトベースの配布方式には特に注意が必要である
- Pythonライブラリと実行可能なインストーラーをPythonスクリプトと一緒に束ねることで、Pythonが事前インストールされていないホストでもマルウェアをダウンロードして実行できる
- 業務でPythonを必要としない組織は、Pythonの利用を制限すべきである
- ソフトウェアパッケージを悪性ファイルと一緒に配布する手法は今回が初めてではない
- 最近では、Javaベースのマルウェアキャンペーンで、ZIP内にJARとJava Runtime Environmentを同梱し、ダウンローダーまたはドロッパー実行前に必要なソフトウェアが導入されるようにした事例が観測されている
- 最終ペイロードの実行には被害者による相当な操作が必要である
- 悪性リンクのクリック
- LNKやVBSなど複数のファイルのダブルクリック
- 圧縮されたスクリプトの展開
- この過程は、受信者が不審な活動を見抜いて攻撃チェーンを中断する機会を何度も提供する
- WebDAVとServer Message Block(SMB)をペイロードのステージングおよび配布に使う脅威アクターが増えている
- 組織は外部ファイル共有サービスへのアクセスを、既知の 許可リストサーバー のみに制限すべきである
検知ルールと侵害指標
- Emerging Threats ruleset には、今回のキャンペーンで特定されたマルウェアの検知が含まれている
- 例示ルール:
2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes (Client)2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed
- 侵害指標の例:
spectrum-exactly-knitting-rural[.]trycloudflare[.]com: TryCloudflare Host, 2024年5月に初観測157[.]20[.]182[.]172: Xworm C2 IP, 2024年5月に初観測dcxwq1[.]duckdns[.]org: AsyncRAT C2, 2024年5月に初観測ride-fatal-italic-information[.]trycloudflare[.]com: TryCloudflare Host, 2024年7月に初観測todfg[.]duckdns[.]org: AsyncRAT C2, 2024年7月に初観測welxwrm[.]duckdns[.]org: Xworm C2, 2024年7月に初観測xwor3july[.]duckdns[.]org: Xworm C2, 2024年7月に初観測
まだコメントはありません。