BlueAlphaがCloudflareトンネリングサービスをGammaDropステージングインフラストラクチャに悪用
概要
BlueAlphaは、ロシア連邦保安庁(FSB)の指示の下で活動する国家支援型サイバー脅威グループであり、公に報告されているGamaredon、Shuckworm、Hive0051、UNC530のグループと重複しています。BlueAlphaは少なくとも2014年から活動しており、カスタムマルウェアを配布するために執拗なスピアフィッシングキャンペーンを通じてウクライナの組織を標的にし続けています。少なくとも2023年10月以降、BlueAlphaはカスタムVBScriptマルウェアGammaLoadを提供し、データの流出、資格情報の窃取、侵害されたネットワークへの永続的なアクセスを可能にしています。
BlueAlphaがCloudflareトンネリングサービスをGammaDropステージングインフラストラクチャに悪用
BlueAlphaは最近、マルウェア配信チェーンを進化させ、サイバー犯罪脅威グループがマルウェアを展開するために普及させた戦術であるGammaDropマルウェアのステージングにCloudflare Tunnelを活用するようになりました。
主な調査結果:
- BlueAlphaは、Cloudflareトンネルを利用してGammaDropのステージングインフラストラクチャを隠蔽し、従来のネットワーク検出メカニズムを回避しています。
- このグループは、メールのセキュリティシステムを回避する高度な手法を駆使し、HTMLスマグリングを通じてマルウェアを配布します。
- DNS高速フラックスは、コマンド&コントロール(C2)通信の追跡および妨害の試みを複雑にします。
BlueAlphaがCloudflareトンネルを悪用する方法
Cloudflareは、TryCloudflareツールを利用してトンネリングサービスを無料で提供しています。このツールを使用すると、誰でもランダムに生成されたtrycloudflare.comのサブドメインを使用してトンネルを作成し、そのサブドメインへのすべてのリクエストをCloudflareネットワークを介してそのホストで実行されているWebサーバーにプロキシさせることができます。BlueAlphaはこれを利用して、GammaDropのデプロイに使用されたステージングインフラストラクチャを隠します。
HTMLスマグリング
HTMLスマグリングは、HTML添付ファイルに埋め込まれたJavaScriptを通じてマルウェアを配信することを可能にします。BlueAlphaは、検出を避けるために微細な変更を加えてこの手法を洗練させました。最近のサンプルでは、onerror HTMLイベントを使用して悪意のあるコードを実行するなど、難読化解除方法の変更が見られます。
GammaDropおよびGammaLoadマルウェア
BlueAlphaのマルウェアスイートは、そのキャンペーンの中心的存在です:
- GammaDrop:ドロッパーとして機能し、GammaLoadをディスクに書き込み、永続性を確保
- GammaLoad:C2にビーコンして追加のマルウェアを実行できるカスタムローダー
BlueAlphaは、分析を複雑にするために、大量のジャンクコードとランダムな変数名を用いた難読化技術を使用しています。
緩和戦略
- メールセキュリティの強化:HTMLスマグリング手法を検査して阻止するソリューションを導入し、onerrorのような疑わしいHTMLイベントを含む添付ファイルにフラグを立てます。
- 悪意のあるファイルの実行の制限:アプリケーション制御ポリシーを実装して、mshta.exeや信頼できない.lnkファイルの悪意のある使用をブロックします。
- ネットワークトラフィックの監視:trycloudflare.comサブドメインへのリクエストと不正なDNS-over-HTTPS(DoH)接続にフラグを立てるルールを設定します。
- 脅威インテリジェンスの活用:Recorded Futureのマルウェア軽減ソリューションを使用して、疑わしいファイルを分析し、新たな脅威に関する情報を入手します。
今後の展望
BlueAlphaがCloudflareのような合法的なサービスを継続的に使用していることは、回避技術の高度化に対するその注力の現れと言えます。組織は、これらの洗練された脅威に対抗するために、警戒を怠らず、先進的な検出・対応能力に投資する必要があります。
分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。
付録A — 侵害を示す指標
|
ドメイン: else-accommodation-allowing-throws.trycloudflare[.]com cod-identification-imported-carl.trycloudflare[.]com amsterdam-sheet-veteran-aka.trycloudflare[.]com benjamin-unnecessary-mothers-configured.trycloudflare[.]com longitude-powerpoint-geek-upgrade.trycloudflare[.]com attribute-homework-generator-lovers.trycloudflare[.]com infected-gc-rhythm-yu.trycloudflare[.]com IPアドレス: 178.130.42[.]94 ハッシュ: 3afc8955057eb0bae819ead1e7f534f6e5784bbd5b6aa3a08af72e187b157c5b 93aa6cd0787193b4ba5ba6367122dee846c5d18ad77919b261c15ff583b0ca17 b95eea2bee2113b7b5c7af2acf6c6cbde05829fab79ba86694603d4c1f33fdda |
付録B — MITRE ATT&CK手法
| 戦術:手法 | ATT&CKコード |
| 初期アクセス:スピアフィッシング添付ファイル | T1566.001 |
| 実行: Visual Basic | T1059.005 |
| 実行: JavaScript | T1059.007 |
| 実行:悪意のあるファイル | T1204.002 |
| 永続性:レジストリの実行キー/スタートアップフォルダ | T1547.001 |
| 防御回避:HTMLスマグリング | T1027.006 |
| 防御回避:暗号化/エンコードされたファイル | T1027.013 |
| コマンド&コントロール:Webプロトコル | T1071.001 |
| コマンド&コントロール:DNS高速フラックス | T1568.001 |
関連