Securonixはこのほど、「Analysis and Detection of CLOUD#REVERSER: An Attack Involving Threat Actors Compromising Systems Using A Sophisticated Cloud-Based Malware - Securonix」において、Google DriveとDropboxを悪用してマルウェアを配布し、機密情報を窃取する新しいキャンペーン「CLOUD#REVERSER」を発見したと伝えた。
感染経路
Securonixによると、このキャンペーンでは悪意のあるメールから攻撃が始まるという。メールにはZIPアーカイブが添付されており、解凍すると特殊なユニコード文字を使用したファイルが展開される。このユニコード文字は「RIGHT-TO-LEFT OVERRIDE(U+202E)」として定義された制御文字で、後続の文字を右から左に表示する。
具体的には「RFQ-101432620247fl (U+202E) xslx.exe」を「RFQ-101432620247flexe.xlsx」と表示する。そのため、Excelドキュメントに見える実行可能ファイル(.exe)が保存される。
このファイルを実行すると、「C:\ProgramData」にいくつかのファイルが保存される。ファイルにはVBスクリプトや正常なExcelドキュメント(.xlsx)ファイルが含まれており、これらが実行される。正常なExcelドキュメントの実行は、ユーザーに「RFQ-101432620247flexe.xlsx」を開いたように錯覚させるためとみられる。
その後、複数のVBスクリプトやPowerShellスクリプトが実行される。これらスクリプトはさまざまな機能を分業しており、一部は1分ごとに実行されるようにタスクを作成し、永続性を確保する。
影響と対策
これらスクリプトの一部は攻撃者のDropboxからペイロードをダウンロードして実行する機能や、ファイルをアップロードする機能がある。また、追加のペイロードにはGoogle Driveからペイロードをダウンロードして実行する機能や、ファイルをアップロードする機能がある。攻撃者はこれらを用いて機密情報窃取など追加の攻撃を実施するとされる。
なお、攻撃者のコマンド&コントロール(C2: Command and Control)サーバに接続する一部のスクリプトはメモリ上に直接展開されて実行されるため、セキュリティソリューションによる検出は難しいとみられている。このスクリプトはC2サーバからの指示で任意のコマンドを実行する機能を持つ。
Securonixはこのような攻撃を回避するため、次のような対策を推奨している。
- 外部ソース(メールなど)のファイルには触れない。特にzip、rar、iso、pdfファイルに注意する
- マルウェアの一般的なステージングディレクトリの活動を監視する
- 堅牢なエンドポイントログ機能を導入する。これにはSysmonやPowerShellログの活用が含まれる
このキャンペーンでは実行可能ファイルをExcelドキュメントに錯覚させる手法が使用されている。実行可能ファイルのアイコンもExcelドキュメントのアイコンが使用されており、見抜くことは難しいとみられている。そのため、メールの添付ファイルを開く前に攻撃を検出して防止する必要がある。
一般的に悪意のあるメールは実在の企業などを装い、緊急性を訴える内容のものが送られてくる。そのようなメールは悪意のあるメールや、フィッシングメールの可能性が高いため注意することが推奨されている。最後にSecuronixは、このキャンペーンの調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。