Google Cloud Run、銀行トロイの木馬拡散の温床に – グローバル警鐘

Last Updated on 2024-02-21 11:26 by 荒木 啓介

GoogleのCloud Runサービスが複数の銀行トロイの木馬を拡散していることが報告された。このキャンペーンは当初、ラテンアメリカを対象としていたが、ヨーロッパや北アメリカへの拡散の兆候があると研究者は警告している。Cisco Talosの研究者は、2023年9月以降、Google Cloud Runを悪用してAstaroth、Mekiotio、Ousabanといった銀行トロイの木馬を拡散するキャンペーンが増加していることを観察した。これらのキャンペーンは、時間枠、ストレージバケット、配布戦術、技術、手順（TTPs）が重なっていることから、少なくとも一部が関連していることを示唆している。

攻撃は、請求書や財務・税務文書に関連するテーマを使用した電子メールから始まる。これらの電子メールには、脅威アクターが制御するCloud Run Webサービスにリンクする悪意のあるリンクが含まれている。多くの場合、トロイの木馬は敵対的なGoogle Cloud Run Webサービスから直接、悪意のあるMicrosoftインストーラーを介してドロップされた。攻撃者は検出を避けるためにクローキングメカニズムを展開していることが注目される。観察されたクローキングアプローチの一つには、geopluginを使用するものがある。いくつかのGoogle Cloud Runドメインは、プロキシとクローラーをチェックするページにリダイレクトされ、収集された情報に基づいて脅威レベルが与えられた。

【ニュース解説】

GoogleのCloud Runサービスが、複数の銀行トロイの木馬を拡散しているという報告があります。このキャンペーンは当初ラテンアメリカを主な対象としていましたが、ヨーロッパや北アメリカへの拡散の兆候が見られると研究者たちは警告しています。2023年9月以降、Cisco Talosの研究者たちは、Google Cloud Runを悪用してAstaroth、Mekiotio、Ousabanといった銀行トロイの木馬を拡散するキャンペーンの増加を観察しています。これらのキャンペーンは、時間枠、ストレージバケット、配布戦術、技術、手順（TTPs）が重なっていることから、少なくとも一部が関連していることを示唆しています。

攻撃は、請求書や財務・税務文書に関連するテーマを使用した電子メールから始まります。これらの電子メールには、脅威アクターが制御するCloud Run Webサービスにリンクする悪意のあるリンクが含まれています。多くの場合、トロイの木馬は敵対的なGoogle Cloud Run Webサービスから直接、悪意のあるMicrosoftインストーラーを介してドロップされます。攻撃者は検出を避けるためにクローキングメカニズムを展開していることが注目されます。観察されたクローキングアプローチの一つには、geopluginを使用するものがあります。いくつかのGoogle Cloud Runドメインは、プロキシとクローラーをチェックするページにリダイレクトされ、収集された情報に基づいて脅威レベルが与えられます。

この報告は、クラウドサービスがどのように悪用され得るかを示しており、サイバーセキュリティの重要性を再確認させます。Google Cloud Runのようなサービスは、開発者にとって非常に便利であり、迅速なアプリケーションの展開を可能にしますが、同時に、悪意のあるアクターによる悪用のリスクも伴います。このような攻撃は、個人や企業の財務情報を危険にさらすだけでなく、信頼性のあるクラウドサービスのイメージにも影響を与えかねません。

この問題に対処するためには、クラウドサービスプロバイダーと利用者双方がセキュリティ対策を強化する必要があります。プロバイダーは、不正な活動を検出し、防ぐためのシステムを強化することが求められます。一方で、利用者は、受信する電子メールのリンクや添付ファイルを慎重に扱い、不審なものは開かないようにするなど、基本的なセキュリティ対策を徹底することが重要です。

長期的には、このような攻撃の増加は、クラウドサービスのセキュリティ基準の見直しや、国際的なサイバーセキュリティ規制の強化を促す可能性があります。また、AIや機械学習技術の進化により、より効果的な検出システムの開発が期待されています。しかし、技術の進歩とともに、攻撃手法も進化するため、サイバーセキュリティは常に進化し続ける分野であることを忘れてはなりません。

from Google's Cloud Run Service Spreads Several Bank Trojans.