TOPCloud > パブリッククラウドを使った攻撃キャンペーンへの対処法は

Cloud

パブリッククラウドを使った攻撃キャンペーンへの対処法は

2022/01/25

John P. Mello Jr. CSO

 米Cisco Systemsの脅威インテリジェンスチームTalosは、Microsoft AzureやAmazon Web Services(AWS)などのパブリッククラウドサービスを利用した攻撃キャンペーンの新たな事例について解説するブログ記事を、今月公開した。執筆者は、同社のセキュリティー研究者であるChetan Raghuprasad氏とVanja Svajcer氏。

Credit: Metamorworks / Getty Images
Credit: Metamorworks / Getty Images

 記事によると、この攻撃キャンペーンが始まったのは昨年10月26日頃。マルウエア「Nanocore」「Netwire」「AsyncRAT」の亜種を使った攻撃が、主に米国、イタリア、シンガポールで確認された。これらのマルウエアには、コマンドの実行や情報の窃盗など、標的のコンピューターを乗っ取るためのさまざまな機能がある。また攻撃者は、活動の追跡を困難にするために、ダイナミックDNSサービス「DuckDNS」を使い、C&C(マルウエア制御)サーバーのサブドメイン名を変える策を取り入れている。

攻撃の始まりはフィッシングメール

 この攻撃では、まずZIPファイルが添付されたフィッシングメールが届く。添付ファイルには、不正なスクリプトを使ったダウンローダーがISOイメージの形で収められている。添付ファイルを開くと、このスクリプトが実行され、通常はAzureかAWSで稼働しているサーバーに接続して、攻撃を次の段階に進めるためのマルウエアをダウンロードする。

 ブログ記事には次のように説明がある。「サイバー攻撃者は、自前でのホスティングに頼らなくても目的を達成できるよう、クラウド技術をますます利用しつつある。AzureやAWSの類いのクラウドサービスを使えば、インフラのセットアップとネット接続を、最小限の時間と初期費用で実現できる。また防御側にとっては、攻撃活動の追跡がしにくくなる」

↑ページ先頭へ