Source: https://www.darkreading.com/cloud-security/serpentinecloud-cloudflare-tunnels-sneak-attacks
🛡 概要
この度、Securonixによる研究により、.lnkショートカットファイルを使用してリモートペイロードを配信する巧妙なマルウェアキャンペーン「Serpentine#Cloud」が明らかになりました。攻撃者はCloudflareのトンネルインフラとPythonベースのローダーを駆使し、ショートカットファイルと難読化されたスクリプトを介してメモリに注入されたペイロードを配信しています。この攻撃は、フィッシングメールを介して始まり、被害者は気づかないうちに悪意のあるコードを実行することになります。
🔍 技術詳細
Serpentine#Cloudの攻撃者は、フィッシングメールを通じて.zipファイルをダウンロードさせ、その中に含まれる.lnkファイルを実行させることで初期アクセスを獲得します。この.lnkファイルは、通常の文書として偽装されており、実行されるとリモートコードを取得して実行します。続いて、難読化されたバッチファイルがダウンロードされ、最終的にはPythonベースのインメモリシェルコードローダーが実行されます。これにより、バックドアが設置され、攻撃者はシステムに対する持続的なアクセスを得ることができます。特に、Cloudflareのトンネルサービスを利用してペイロードがホストされている点が注目されており、これが攻撃者の隠密性を高める要因となっています。
⚠ 影響
この攻撃の影響は広範囲に及び、主に米国、英国、ドイツ、アジアや欧州の他の地域にターゲットが存在します。攻撃者の正体や動機は明らかになっていませんが、エンドユーザーのデータが危険にさらされる可能性が高いです。特に、バックドアを設置されたシステムは、他の悪意のある活動に利用される恐れがあり、企業の信頼性や機密情報が脅かされることになります。さらに、攻撃者は難読化された手法を使用しているため、検知が難しく、被害が拡大するリスクが存在します。
🛠 対策
この攻撃から身を守るためには、フィッシングメールに対する警戒が重要です。信頼できない送信者からのメールに添付されたファイルを開かないこと、ユーザー教育を行うことが推奨されます。また、エンドポイントの検出を重視し、攻撃の初期段階で感染を防ぐことが重要です。特に、メールを扱うサーバーやドメインコントローラーは、感染の起点となる可能性が高いため、適切な対策を講じる必要があります。
