概要

Cofense Intelligenceのサイバーセキュリティ研究者が、攻撃者がWindows File Explorerを悪用し、マルウェアを配布するキャンペーンが進行中であることを発見しました。この手法は、伝統的なウェブブラウザセキュリティ制御や一部のエンドポイント検出および対応（EDR）システムを回避します。

WebDAVの悪用

WebDAV (Web-based Distributed Authoring and Versioning) は、ファイル管理プロトコルです。Microsoftが2023年11月に非推奨としましたが、Windows File Explorerでネイティブサポートされています。

攻撃手法

攻撃者は主に以下の方法を使用してこの攻撃を実行します：

• 直接リンク（file:// URIを使用）
• .url ファイル（URLショートカットファイル）
• .lnk ファイル（LNKショートカットファイル）

これらのファイルは、リモートパスを開くか、攻撃者のサーバーから悪意のあるスクリプトを実行します。

検出の難しさ

攻撃者は無料デモインスタンスのCloudflare Tunnelsを使用してWebDAVサーバーをホストし、被害者のネットワークトラフィックが正当なCloudflareインフラストラクチャを通じてルーティングされます。これによりセキュリティアナリストは検出を難しくしています。

マルウェアのペイロードと標的

Cofenseによると、この手法が2024年2月から観察されており、9月にキャンペーンのボリュームが大幅に増加しました。87%の攻撃で複数のリモートアクセストロイアン（RAT）が同時に配布されています。

標的

これらのキャンペーンは主にヨーロッパの企業ネットワークを標的にし、フィッシングメールを通じて展開されます。現在、50%のアクティブな脅威レポートがドイツ語のメールを使用しており、30%が英語の罠を使用しています。

インジケーターオブコムプロイズ（IOCs）

以下に示すCloudflare Tunnelドメインは、最近のキャンペーンで悪意のあるWebDAVサーバーをホストしている可能性があります。セキュリティチームはこれらのアドレスへの異常なアウトバウンドトラフィックを監視する必要があります。

• tiny-fixtures-glossary-advantage.trycloudflare.com
• nasdaq-aged-sf-cheers.trycloudflare.com
• lose-croatia-acdbentity-lt.trycloudflare.com
• discounted-pressed-lc-vcr.trycloudflare.com
• skills-statute-alberta-demand.trycloudflare.com
• whats-menu-familiar-zshops.trycloudflare.com
• publicity-jenny-paintball-gilbert.trycloudflare.com

---

元記事: https://gbhackers.com/hackers-exploit-windows-file-explorer-and-webdav/