Source: https://www.securityweek.com/cloudflare-tunnels-abused-in-new-malware-campaign/
🛡 概要
最近、Securonixが発見したマルウェア配布キャンペーン「Serpentine#Cloud」は、攻撃者が制御するサブドメイン上でCloudflare Tunnelを悪用してペイロードをホストしています。このキャンペーンは、ショートカット(LNK)ファイルや難読化されたスクリプトを利用して、Pythonベースのローダーを配信し、メモリ内でDonut-packed PEペイロードを実行する複雑な感染チェーンに依存しています。
🔍 技術詳細
初期の攻撃ではURLファイルを使用してペイロードを実行していましたが、後にZIPアーカイブ内のBATファイルを使用する方法に移行しました。最近の攻撃では、PDF文書に偽装されたLNKファイルがペイロード配信に使用されています。これらのファイルは、支払いおよび請求書のテーマを持つフィッシングメールを通じて被害者に提供されます。この攻撃の一環として、LNKファイルはCloudflareのトンネルインフラストラクチャにホストされたリモートWebDAV共有からWindowsスクリプトファイル(WSF)を取得するためにrobocopyを使用し、Windows Script Host(WSH)を介してスクリプトを実行します。マルウェアはシェルコードローダーであり、“Early Bird APC injection”を使用して新しく生成されたプロセス内でシェルコードを密かに実行します。実行されたシェルコードは、AsyncRATやRevengeRATなどの一般的またはオープンソースのRATに解決されます。
⚠ 影響
Cloudflareトンネルを悪用するこのマルウェアキャンペーンは、ネットワーク保護や検出を回避する手段を提供します。攻撃者は、合法的なサービスからのトラフィックとして見えるため、匿名性を保ちながらリモートリソースへのアクセスを確保します。これにより、企業や個人が重要なデータを危険にさらされる可能性が高まります。前回Proofpointが警告したキャンペーンも、Cloudflareトンネルを利用してAsyncRATやGuLoaderなどのマルウェアを配布していました。
🛠 対策
このような脅威に対抗するためには、企業はセキュリティポリシーを見直し、Cloudflareトンネルを通じたトラフィックを監視する必要があります。また、フィッシングメールに対する従業員の意識を高め、怪しいリンクや添付ファイルを開かないよう教育することが重要です。さらに、最新のセキュリティパッチを適用し、マルウェア検出ソフトウェアを利用することで、これらの攻撃からの防御を強化することが求められます。全体として、セキュリティ対策の強化がこのような攻撃を未然に防ぐ鍵となります。
