概要
サイバーセキュリティ研究者たちは、Cloudflareの無料ティアサービスおよびTryCloudflareトンネリングドメインを悪用する巧妙なAsyncRATキャンペーンを発見しました。このキャンペーンは、正規のインフラストラクチャを利用した多段階の感染経路を通じて、リモートアクセス型トロイの木馬(RAT)のペイロードを配信し、検出を回避しています。攻撃者はCloudflareの信頼されたインフラストラクチャを悪用してWebDAVサーバーをホストし、悪意のある活動を正規のドメイン下に隠蔽することで、従来のセキュリティソリューションを回避しています。
この攻撃は、Dropboxリンクを含むフィッシングメールから始まります。被害者はPDFファイルに見せかけた悪意のあるファイルをダウンロードさせられ、これらのインターネットショートカットファイルは、plus-condos-thy-redeem.trycloudflare.comやowners-insertion-rentals-pursuit.trycloudflare.comなどのさまざまなTryCloudflareドメインでホストされているWebDAVリソースにリダイレクトされます。これにより、複雑な多段階感染プロセスが開始されます。AsyncRATは、ソーシャルエンジニアリング、正規ツールの悪用、およびWindowsシステムを標的とした高度なコードインジェクション手法を組み合わせた高度な技術を実証しています。
技術的な攻撃フロー
被害者が悪意のあるショートカットファイルを開くと、攻撃はWindows Script Hostファイル(as.wshおよびanc.wsf)をダウンロードし、その後の感染段階を指揮します。これらのスクリプトは、バッチファイル(vio.batおよびxeno.bat)をダウンロードします。これらのバッチファイルは、公式のPythonウェブサイトからPython 3.14.0を直接フェッチすることで、侵害されたシステム上に完全なPython環境を構築します。この手法は、セキュリティ監視ツールからは正規のものに見えます。
このキャンペーンは、実行中に正規のPDF文書を表示することで、洗練された欺瞞戦術を採用しています。具体的には、ihk.deから請求書をテーマにした文書をダウンロードし、被害者に標準的なビジネス文書を開いたと信じ込ませます。一方、悪意のあるペイロードはバックグラウンドでサイレントに実行され、永続化メカニズムを確立し、追加コンポーネントをダウンロードします。攻撃者は、スタートアップフォルダースクリプト(ahke.batおよびolsm.bat)を含む複数の経路を通じて永続性を確保し、システム再起動時にマルウェアが確実に実行されるようにします。また、rundll32.exeは、WebDAVサーバー(plus-condos-thy-redeem.trycloudflare[.]com)とSSL接続を指定するパラメーターでdavclnt.dllからDavSetCookie関数を実行します。
このキャンペーンは、Windows Script Host、PowerShell、rundll32.exe、WebClientサービスなどのネイティブWindowsユーティリティを利用する「living-off-the-land」技術を悪用しており、検出を大幅に困難にしています。
Pythonベースのコードインジェクション
攻撃の中核は、Pythonスクリプト(ne.py)がPolymorphic Asynchronous Procedure Call(APC)インジェクションを実行し、正規のWindowsプロセス内で任意のコードを実行するというものです。このスクリプトは、付随するテキストファイル(a.txt)に保存されたキーを使用してメインペイロード(new.bin)を復号し、AsyncRATシェルコードをexplorer.exeプロセスにインジェクションします。これにより、キーロギング、スクリーンキャプチャ、リモートコマンド実行などの包括的なリモートアクセス機能が攻撃者に提供されます。分析により、シェルコードが位置独立シェルコードを作成するためのオープンソースフレームワークであるDonutを使用して生成されたことが明らかになり、脅威アクターの技術的な洗練度と高度な悪用技術に関する知識が示されています。
対策と推奨事項
Trend Vision Oneは、このキャンペーンに関連する侵害の兆候(IoC)の検出とブロックに成功しており、顧客に合わせた脅威ハンティングクエリ、脅威インサイト、およびインテリジェンスレポートを提供しています。セキュリティ研究者は、多層的なセキュリティアプローチの重要性を強調しています。これには、以下の監視が含まれます。
- 異常なWebDAV接続
- PowerShellの実行パターン
- ユーザーディレクトリにおける不正なPythonインストール
組織は、強化されたメールセキュリティ制御、二重拡張子ファイルを用いたフィッシングの特定に焦点を当てたユーザー意識向上トレーニング、およびTryCloudflareドメインへの接続に対するネットワーク監視を実装する必要があります。このキャンペーンは、脅威アクターが正規のクラウドサービスと信頼されたインフラストラクチャをペイロード配信およびコマンド&コントロール操作のために悪用する際に、悪意のある活動を区別することの継続的な課題を浮き彫りにしています。