Last Updated on 2025-06-19 10:27 by admin
2025年6月18日に公開された報告によると、SecuronixがSERPENTINE#CLOUDと名付けた新しいマルウェアキャンペーンが確認されています。
このキャンペーンはCloudflareトンネルのサブドメインを悪用し、フィッシングメール経由でリモートアクセストロイの木馬を配信しています。
攻撃は支払いや請求書を装ったメールから始まり、Windowsショートカットファイルを含むZIPファイルへのリンクを送信します。被害者がファイルを開くと、PythonベースのシェルコードローダーがDonutローダーでパックされたペイロードをメモリ内で実行します。
標的地域は米国、英国、ドイツをはじめとするヨーロッパ諸国、およびアジア各地域です。配信されるマルウェアにはAsyncRAT、GuLoader、PureLogs Stealer、Remcos RAT、Venom RAT、XWormが含まれます。
同時にAcronisがShadow Vectorと呼ばれるキャンペーンを特定し、コロンビアのユーザーを標的にSVGファイルを使用したマルウェア配信を行っています。
ReliaQuestの統計によると、2025年3月から5月にかけて観測されたフィッシングベース戦術のうち、ドライブバイ侵害が23%を占めました。
From 
New Malware Campaign Uses Cloudflare Tunnels to Deliver RATs via Phishing Chains
【編集部解説】
今回のSERPENTINE#CLOUDキャンペーンは、サイバー攻撃の手法が従来の技術的脆弱性の悪用から、人間の心理を巧みに利用したソーシャルエンジニアリングへと大きくシフトしていることを象徴する事例です。この変化は単なる戦術の進化ではなく、現代のサイバーセキュリティが直面する根本的な課題の変化を示しています。
Cloudflareトンネルの悪用メカニズム
攻撃者がCloudflareトンネルを選択する理由は、その技術的優位性にあります。正規のクラウドサービスプロバイダーのインフラを利用することで、悪意のある通信が正当なトラフィックに紛れ込み、従来のURL・ドメインベースのブロッキング機能を回避できるのです。
さらに注目すべきは、TryCloudflareの無料サービスがアカウント作成不要で一時的なトンネルを生成できる点です。これにより攻撃者は低コストで使い捨て可能なインフラを構築でき、検出・遮断されても即座に新しいトンネルを作成できます。
メモリ内実行技術の進化
SERPENTINE#CLOUDキャンペーンで特に注目すべきは、Donutローダーを使用したメモリ内でのペイロード実行です。この手法により、マルウェアはディスク上に痕跡を残すことなく動作し、従来のファイルベースの検出システムを巧妙に回避します。
Python-based shellcode loaderの使用も、攻撃の洗練度を示しています。Pythonという汎用プログラミング言語を悪用することで、攻撃コードが正当なスクリプトとして認識される可能性が高まります。
攻撃手法の多様化と地域特化
攻撃者は初期アクセス手法を継続的に変化させており、インターネットショートカット(URL)ファイルからLNKショートカットファイルへと軸足を移しています。これは防御側の対策に対する適応能力の高さを示しています。
Shadow Vectorキャンペーンにおけるコロンビア特化型攻撃は、現代のサイバー攻撃がグローバル化と地域特化の二極化を進めていることを示しています。ポルトガル語文字列の存在からブラジル系マルウェアとの関連性が示唆されており、南米地域における攻撃インフラの共有や協力関係の存在が浮き彫りになっています。
ClickFix手法の心理的巧妙さ
ReliaQuestの統計によると、2025年3月から5月にかけてドライブバイ侵害がフィッシング戦術の23%を占めており、その中核にあるのがClickFix手法です。この手法の効果的な点は、CAPTCHAやエラー修復といった日常的な操作に偽装することで、ユーザーの警戒心を解く点にあります。
技術の二面性と規制への影響
Cloudflareトンネル技術自体は、リモートワークやセキュアな通信を実現する正当な技術です。しかし、その悪用により、サービスプロバイダーは技術革新と悪用防止のバランスを取る難しい立場に置かれています。
これは将来的に、クラウドサービスプロバイダーに対するより厳格な監視義務や報告要件の導入につながる可能性があります。
長期的な影響と対策の方向性
今回の事例が示す最も重要な点は、攻撃者が「技術的脆弱性の悪用」から「ユーザーの行動誘導」へと戦略をシフトしていることです。これは従来のパッチ適用やシステム更新といった技術的対策だけでは不十分であることを意味します。
組織は技術的防御に加えて、従業員教育やヒューマンファクターを考慮したセキュリティ設計に重点を置く必要があります。特に、日常的な操作に偽装した攻撃に対する認識向上が不可欠でしょう。
また、AIや機械学習を活用した行動分析による異常検知システムの重要性が高まっています。単純なシグネチャベースの検出から、コンテキストを理解した高度な脅威検知への移行が求められています。
【用語解説】
SERPENTINE#CLOUD
Securonixが命名したマルウェアキャンペーンのコードネーム。Cloudflareトンネルを悪用してリモートアクセストロイの木馬を配信する攻撃手法を指す。
Cloudflareトンネル
固定IPアドレスを使わずに、自宅サーバーやローカルマシンを外部からアクセス可能にするCloudflareのサービス。cloudflaredデーモンがCloudflareエッジサーバーとトンネルを確立し、安全な通信を実現する。
Donutローダー
.NET アセンブリ、VBScript、JScript、EXE、DLLファイルをメモリ内で実行可能にするポジション独立コード。暗号化とメモリ内実行により検出回避を図る。
AsyncRAT
C#で書かれたオープンソースのリモートアクセス型トロイの木馬。キーロギング、画面キャプチャ、マイク・カメラ制御、ファイル操作などの機能を持つ。
GuLoader
CloudEyEやvbdropperとも呼ばれるダウンローダーマルウェア。第2段階マルウェアの配信に使用される。
PureLogs Stealer
.NETフレームワークで開発された情報窃取型マルウェア。ブラウザデータ、暗号通貨ウォレット、FTPクライアント、メールソフトウェア、VPNから機密情報を収集する。
Remcos RAT
BreakingSecurity社が「Remote Control and Surveillance」として販売する正規ツールだが、ハッカーによって悪用されるリモートアクセス型トロイの木馬。
Venom RAT
QuasarRATをベースに開発されたリモートアクセス型トロイの木馬。キーロガー、カメラアクセス、セキュリティ無効化機能を備える。
XWorm
商用のリモートアクセス型トロイの木馬。地下フォーラムで販売され、スクリーンショット作成、キーロギング、Hidden VNC機能を持つ。
ClickFix手法
CAPTCHAやエラー修復を装ってユーザーに悪意のある操作を実行させるソーシャルエンジニアリング手法。日常的な操作に偽装することで警戒心を解く。
SVGスマグリング
スケーラブルベクターグラフィックス(SVG)ファイルを使用して悪意のあるZIPアーカイブを配信する攻撃手法。
【参考リンク】
Securonix(外部)
SIEM、UEBA、XDR、SOARの機能を統合したエンドツーエンドのセキュリティ運用プラットフォーム企業
Cloudflare(外部)
CDN、DDoS対策、セキュリティサービスを提供するクラウドプラットフォーム企業
The Hacker News(外部)
サイバーセキュリティ分野で最も信頼される情報源の一つ。脅威インテリジェンス、データ侵害報告を提供
Dark Reading(外部)
エンタープライズセキュリティ専門のニュースサイト。サイバーセキュリティの最新動向と深い分析を提供
【参考記事】
Serpentine#Cloud Malware Uses Cloudflare in Sneak Attacks(外部)
Dark ReadingによるSERPENTINE#CLOUDキャンペーンの分析記事
Serpentine#CloudがCloudflareトンネルを使ったスニーク攻撃を実施(外部)
日本語でのSERPENTINE#CLOUDキャンペーンの解説記事
【編集部後記】
今回のSERPENTINE#CLOUDキャンペーンを読んで、皆さんはどのように感じられましたか?私たちが日常的に使っているクラウドサービスが、こうした形で悪用される現実に直面すると、テクノロジーの進歩と安全性のバランスについて深く考えさせられます。
特に興味深いのは、攻撃者が技術的な脆弱性よりも「人間の心理」を狙うようになってきている点です。CAPTCHAやエラー修復といった日常的な操作に偽装するClickFix手法は、私たち一人ひとりが標的になり得ることを示しています。
皆さんの職場や日常生活で、「これって本当に安全?」と疑問に思うデジタル体験はありませんか?また、便利さとセキュリティのトレードオフについて、どのような基準で判断されているでしょうか?ぜひSNSで、皆さんの体験や考えをお聞かせください。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
