概要：Google Cloudを悪用した大規模サイバー攻撃

セキュリティ研究機関VulnCheckの新たな調査によると、高度な脅威アクターがGoogle Cloudインフラストストラクチャ上でプライベートなOut-of-band Application Security Testing（OAST）サービスを運用し、200以上の共通脆弱性識別子（CVE）を標的とした大規模なエクスプロイトキャンペーンを実施しています。

プライベートOASTドメインの危険性

VulnCheckの研究者たちは、これまで知られていないOASTドメイン「detectors-testing.com」へのコールバックを含む異常な活動を検出しました。これは、既知のパブリックOASTプロバイダーとは関連がなく、攻撃者が独自のプライベートインフラストラクチャを運用していることを示唆しています。このインフラストラクチャにリンクされた約1,400件のエクスプロイト試行が確認されており、200を超えるユニークなCVEが対象となっています。

攻撃の手法と標的

攻撃は主に、変更されたNuclei脆弱性スキャンテンプレートを使用してターゲットネットワークの脆弱性を調査する形で行われました。観測されたすべての悪意のある活動は、2025年10月から11月の間にブラジルに配備されたカナリアシステムを標的としており、特定の地域に焦点を当てていることが明らかになっています。

攻撃者によって制御されるOASTサブドメインは「i-sh.detectors-testing.com」のようなパターンに従い、侵害されたシステムがHTTPコールバックを送信してエクスプロイトの成功を確認します。例えば、Ivanti Endpoint Manager Mobileのリモートコード実行脆弱性であるCVE-2025-4428を悪用しようとする試みが記録されています。

Google Cloud利用による利点

この作戦全体は、米国を拠点とするGoogle Cloudインフラストラクチャを介して複数のIPアドレスで実行されています。主要なクラウドプロバイダーを利用することで、攻撃者は大きな利点を得ています。防御側が正規のクラウドサービスからのトラフィックをブロックすることは稀であり、悪意のある通信が通常のネットワーク活動に容易に紛れ込むためです。

VulnCheckは、6つのスキャナーIPと1つの専用OASTホストを特定し、これらすべてがGoogle Cloud上で動作していることを確認しました。OASTサーバー（34.136.22.26）は、2024年11月以来、少なくとも1年間Interactshサービスを複数のポートで稼働させています。

高度なカスタムペイロードの使用

攻撃者は、標準的なNucleiテンプレートを超えて、高い技術能力を示すカスタムペイロードを展開しています。研究者たちは、攻撃者のサーバー上でホストされている、変更されたTouchFile.class Javaエクスプロイトファイルを発見しました。このファイルは、標準のFastjson 1.2.47エクスプロイト手法に、追加のコマンド実行およびHTTPコールバック機能が拡張されています。また、公式リポジトリから削除された古いNucleiテンプレートも使用しており、攻撃者が独自の変更されたスキャンツールキットを維持していることが示唆されます。

組織が取るべき対策

組織は、以下のIoC（侵害の痕跡）を監視し、セキュリティ対策を強化する必要があります。

• detectors-testing.comおよびそのサブドメインへの接続を監視する。
• 以下のGoogle Cloud IPアドレスからの接続に注意する：
  34.172.194.72, 35.194.0.176, 34.133.225.171, 34.68.101.3, 34.42.21.27, 34.16.7.161, 34.136.22.26
• すべてのインターネットに接続するアプリケーションが、既知の脆弱性、特に現在悪用されている200以上のCVEに対してパッチが適用されていることを確認する。
• 不審なOASTコールバックに対するネットワーク監視と定期的な脆弱性評価を継続的に実施する。

---

元記事: https://gbhackers.com/mystery-oast-tool-exploits-200-cves/