ファイル共有サイトAnonfilesが閉鎖発表、悪用多く対処できず | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ファイル共有サイトAnonfilesが閉鎖発表、悪用多く対処できず

Threat Report

Silobreaker-CyberAlert

ファイル共有サイトAnonfilesが閉鎖発表、悪用多く対処できず

佐々山 Tacos

佐々山 Tacos

2023.08.17

ファイル共有サイトAnonfilesが閉鎖発表、悪用多く対処できず

人気ファイル共有サイトAnonfilesが、ユーザーによる乱用・悪用に対処しきれなくなっていることを理由に閉鎖を発表。ドメインを売りに出すとも述べている。同サイトは、ログを残さず匿名でファイルを共有できるサービスとして登場したものの、脅威アクターによって盗難データの共有などの悪意ある用途で利用されることも多かったという。

「手に負えないほどの悪用」が頭痛の種に

Anonfilesの運営者はサイト(hxxps://anonfiles[.]com/)に以下のようなアナウンスを掲載し、あまりに多くの人々によるサイトの悪用への対応に疲弊していることや、それが頭痛の種になっていたことに言及した。また、数十万件のファイルを自動で凍結する措置を講じたものの、それでも多量の悪用は止まらないだろうとも述べている。

異変は閉鎖発表の5日前から

BleepingComputerの報道によると、閉鎖が発表される5日前から、ファイルアップロードを試みるとサービスがタイムアウトしてしまうという不具合をAnonfilesのユーザーが報告し始めていたという。また上記のAnonfiles運営陣による声明には、プロキシプロバイダーが最近同サイトを停止させていた旨が記されている。

AnonfilesでRedLine Stealerを配布するマルバタイジングが観測されたことも

Anonfilesの利用者はファイルをアップロードし、アップロード後に表示されるURLを教えることで他人とそのファイルを共有することができる仕組みになっていた。利用に会員登録や利用料の支払いは不要な上、Torからのアクセスが可能なこともあって脅威アクターからも人気が高く、盗難データや盗難クレデンシャル、著作権違反のデータなどの不正なデータの共有にもよく利用されていたという。

一方で、Anonfiles上では、マルウェアの配布やサポート詐欺などに繋がる怪しい広告が掲載されていたという報告もある。例えばマルウェア配布に繋がる不正広告のケースでは、利用者がAnonfilezからファイルをダウンロードしようとするとまず別のサイトへリダイレクトされ、元々ダウンロードしようとしていたファイルと同じ名称のISOファイルがそのサイトによってダウンロードされた。しかし実はこのISOファイルには、情報窃取マルウェアやリモートアクセス型トロイの木馬(RAT)など、さまざまなマルウェアが含まれていたという。また2021年には、Anonfilesのマルバタイジングによって有名なスティーラー「RedLine Stealer」がプッシュされていたとことも報告されている。

8baseランサムウェアグループもAnonfilesを利用

Anonfilesは、ランサムウェアグループ「8base」にも、盗難データ(もしくは暗号化されたデータ)のバックアップミラーとして利用されていた。vx-undergroundが共有したスクリーンショットによると、8baseはAnonfilesの閉鎖により運営上の支障が出ていることを認めている模様。

セキュリティ研究者の間で悲しみ広がる

とはいえ、Anonfilesは悪意ある脅威アクターだけでなく、サイバーセキュリティ研究者たちにも人気のサービスだった。今回の閉鎖により、研究や調査目的でアップロードされていた多数のファイルがもう利用できなくなってしまっている。X(旧Twitter)上では、「RIP anonfiles」などと同サービスに別れを告げる投稿が複数見られた。

 

(情報源:BleepingComputer “File sharing site Anonfiles shuts down due to overwhelming abuse”)

8月17日:その他の注目ニュース

Citrix社製品の脆弱性がハッカーらに悪用されていることを、CISAや専門家らが警告(CVE-2023-24489ほか)

The Record – August 17th, 2023

Citrix社製品に影響するいくつかの脆弱性が、さまざまな脅威アクターによって広く悪用されているとして、警鐘が鳴らされている。16日、米CISAはCitrix Content Collaborationツールに影響する脆弱性が悪用されていたことを発表し、米連邦政府の民間機関に対し9月6日までにこの問題に対するパッチを適用するよう義務付けた。

この(CVE-2023-24489として追跡されている)バグについて、Citrixは6月13日に警告を発表しており、この問題によって「顧客が管理するShareFileストレージゾーンコントローラー」が影響を受ける旨をユーザーに伝えていた。この脆弱性のCVSSスコアは10点満点中9.1点で、悪用された場合、権限のない攻撃者はリモートで顧客管理下の同コントローラーを侵害できるようになる。ShareFileとは、企業向けのクラウドベースのファイル共有およびコラボレーションアプリケーションで、ユーザーが自身のデータセンターにファイルを保存することを可能にするもの。

16日、セキュリティ会社GreyNoiseも、この問題を悪用しようとするハッカーを観測したと報告しており、CISAによる通知が発表された後、このバグをめぐる攻撃者の活動が急増したと述べた。

AssetNoteのセキュリティ研究者Dylan Pindur氏はこの脆弱性に関する7月のレポートにおいて、オンラインで検索すると、およそ1,000〜6,000のShareFileインスタンスがインターネットでアクセス可能であると述べており、この人気ぶりは、同ツールが機密データを保存するために使用されているソフトウェアである点と相まって、非常に大きな影響を与える可能性があることを意味するとした。しかし、オンラインのインスタンス数とエクスプロイトの確実性を踏まえると、我々はすでにこの脆弱性による大きな影響を観測したと言えるとも述べた。

このほか、Citrix社のネットワーキング製品Netscalerにおける脆弱性(CVE-2023-3519)についてもセキュリティ企業数社が警鐘を鳴らしている。

関連記事:Citrixの脆弱性狙った大規模キャンペーン 約2千のNetScalerサーバーにバックドアが存在:CVE-2023-3519

QRコードを使用する大規模フィッシングキャンペーンでエネルギー部門が標的に

Security Affairs – August 16, 2023 

2023年5月以降、Cofenseの研究者は、複数の業界のユーザーのマイクロソフト認証情報を盗むことを目的とした攻撃で、QRコードを使用した大規模なフィッシングキャンペーンが行われているのを発見した。また、キャンペーンで送られるフィッシングメール件数の月平均成長率は270%以上であることが分かっており、キャンペーン全体で見ると、2023年5月以降の増加率は2,400%を超えている模様。これはCofenseが観測したQRコードを利用したキャンペーンとしては過去最大規模であり、脅威アクターがQRコードの有効性を試していることを示唆する状況だという。

最も注目すべき標的は、米国に本社を置く大手エネルギー会社で、1,000通を超えるメールの約29%に悪意のあるQRコードが含まれていたという。その他の上位4業種には製造、保険、テクノロジー、金融サービスが含まれ、それぞれキャンペーントラフィックの15%、9%、7%、6%を占めているとのこと。

このキャンペーンで使用されたフィッシングメッセージには、QRコードを含むPNG画像またはPDFの添付ファイルが含まれている。メッセージの内容は、受信者を騙してコードをスキャンさせ、アカウントを確認させようとするもの。メールでは、2~3日以内に手続きを完了するよう受信者に促している。フィッシングメッセージに含まれるリンクのほとんどは、BingのリダイレクトURLで構成されていた。その他の注目すべきドメインには、krxd[.]com(Salesforceアプリケーションに関連)、cf-ipfs[.]com(CloudflareのWeb3サービス)などがある。

QRコードを使用することの最も重要な利点は、フィッシングリンクがQR画像の中に隠されているため、フィッシング対策ソリューションを回避できることだという。この問題の予防策としては、ログイン情報などを提供する前に、QRコードからナビゲートされたサイトを確認することや、受信したメールに含まれるQRコードをスキャンしないよう従業員を教育することなどが挙げられる。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ