警告：Google Cloud Runがバンキングトロイの木馬配信の温床に

Last Updated on 2024-06-16 08:00 by 門倉 朋宏

サイバーセキュリティ研究者たちは、Google Cloud Runサービスを悪用して、ラテンアメリカとヨーロッパの対象者に様々なバンキングトロイの木馬、例えばAstaroth（別名Guildma）、Mekotio、およびOusaban（別名Javali）を配信するメールフィッシングキャンペーンの増加について警告している。これらのマルウェアファミリーに関連する感染チェーンは、最終的なマルウェアペイロードをドロッパーまたはダウンローダーとして機能する悪意のあるMicrosoftインストーラー（MSI）の使用を特徴としている。2023年9月以降に観察された高容量のマルウェア配布キャンペーンは、Google Cloud内の同じストレージバケットを使用して伝播しており、配布キャンペーンの背後にいる脅威アクター間の潜在的なリンクを示唆している。

Google Cloud Runは、フロントエンドおよびバックエンドサービス、バッチジョブ、ウェブサイトやアプリケーションのデプロイ、キュー処理ワークロードを管理やスケールなしで実行できるマネージドコンピュートプラットフォームである。フィッシングメッセージを送信するシステムの大部分はブラジルから発信されており、その後に米国、ロシア、メキシコ、アルゼンチン、エクアドル、南アフリカ、フランス、スペイン、バングラデシュが続く。これらのメッセージには、請求書や財務・税関連の文書に関連するテーマが含まれており、場合によっては地方政府の税務機関からのものであると偽装されている。これらのメッセージには、run[.]appにホストされたウェブサイトへのリンクが埋め込まれており、そこからZIPアーカイブに含まれる悪意のあるMSIファイルが直接、または302リダイレクトを介してGoogle Cloud Storageの場所に保存されたインストーラーによって配信される。

さらに、脅威アクターは、これらのURLに米国のIPアドレスでアクセスする際に訪問者をGoogleのような正当なサイトにリダイレクトすることで検出を回避しようとするジオフェンシングのトリックを試みている。MekotioとAstarothの両方を配信するために同じインフラストラクチャを活用することに加えて、後者に関連する感染チェーンはOusabanを配布するための伝達路として機能する。Astaroth、Mekotio、およびOusabanはすべて、金融機関を狙い、ユーザーのウェブブラウジング活動を監視し、対象の銀行ウェブサイトが開かれた場合にはキーストロークを記録し、スクリーンショットを取るように設計されている。Ousabanは以前にもAmazon S3やMicrosoft Azureを使用して第二段階のペイロードをダウンロードし、Google Docsを使用してコマンドアンドコントロール（C2）設定を取得するなど、クラウドサービスを利用してきた歴史がある。

【ニュース解説】

最近、サイバーセキュリティの研究者たちは、Google Cloud Runサービスを悪用して、ラテンアメリカとヨーロッパの対象者に向けて様々なバンキングトロイの木馬を配信するメールフィッシングキャンペーンが増加していることを警告しました。これらの攻撃では、Astaroth（別名Guildma）、Mekotio、およびOusaban（別名Javali）といったマルウェアが、悪意のあるMicrosoftインストーラー（MSI）を介して配布されています。これらのインストーラーは、最終的なマルウェアペイロードをダウンロードするためのドロッパーやダウンローダーとして機能します。

Google Cloud Runは、フロントエンドやバックエンドサービス、バッチジョブ、ウェブサイトやアプリケーションのデプロイ、キュー処理ワークロードを管理やスケールなしで実行できるマネージドコンピュートプラットフォームです。このプラットフォームの悪用は、組織が内部システムからのアクセスを防止しない可能性が高いプラットフォーム上で、配布インフラストラクチャを効果的かつ安価に展開する方法として、攻撃者によって見られています。

これらのフィッシングメッセージは主にブラジルから発信されており、請求書や財務・税関連の文書に関連するテーマが含まれています。一部のケースでは、地方政府の税務機関からのものであると偽装されています。メッセージ内に埋め込まれたリンクをクリックすると、run[.]appにホストされたウェブサイトに誘導され、そこからZIPアーカイブに含まれる悪意のあるMSIファイルが配信されます。

攻撃者は、ジオフェンシングのトリックを使用して検出を回避しようとしています。これは、これらのURLに米国のIPアドレスでアクセスする際に訪問者をGoogleのような正当なサイトにリダイレクトする手法です。さらに、同じインフラストラクチャを使用してMekotioとAstarothを配信することに加え、Astarothに関連する感染チェーンはOusabanを配布するための伝達路としても機能します。

これらのマルウェアは、金融機関を狙い、ユーザーのウェブブラウジング活動を監視し、対象の銀行ウェブサイトが開かれた場合にはキーストロークを記録し、スクリーンショットを取るように設計されています。特にOusabanは、Amazon S3やMicrosoft Azure、Google Docsを使用してペイロードやコマンドアンドコントロール（C2）設定を取得するなど、以前からクラウドサービスを利用してきた歴史があります。

このような攻撃の増加は、企業や個人がサイバーセキュリティに対する警戒を強める必要があることを示しています。特に、フィッシングメールに対する教育と認識の向上、正当なサービスを悪用した攻撃への対策、そして内部システムからの不正なアクセスを防ぐためのセキュリティポリシーの見直しが重要です。また、このような攻撃の検出と対応を強化するために、最新のサイバーセキュリティ技術と手法の導入も考慮するべきでしょう。

from Banking Trojans Target Latin America and Europe Through Google Cloud Run.