GoogleカレンダーがC2チャネルとして悪用される恐れ:Googleが注意喚起 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > GoogleカレンダーがC2チャネルとして悪用される恐れ:Googleが注意喚起

Threat Report

Silobreaker-CyberAlert

GoogleカレンダーがC2チャネルとして悪用される恐れ:Googleが注意喚起

佐々山 Tacos

佐々山 Tacos

2023.11.07

11月7日:サイバーセキュリティ関連ニュース

GoogleカレンダーがC2チャネルとして悪用される恐れ:Googleが注意喚起

The Hacker News – Nov 06, 2023

Googleは最近公開されたレポート「Q3 2023 Threat Horizons Repor」の中で、GoogleカレンダーをC2インフラのホストに利用する攻撃手法について注意喚起している。これは「Google Calendar RAT(GCR)」と呼ばれるツールを用いる手法で、同ツールに関するPoCエクスプロイトは元々、今年6月に研究者「MrSaighnal」氏によってGitHub上に公開されていた。MrSaighnal氏は、Google Calendar RAT(GCR)を用いた攻撃は、標的マシンを侵害してGCRを展開した後、以下のような流れで実施できると説明している。なお、同氏によれば、GCRの通信にはGoogleによって運営される正規のインフラのみが利用されるため、防衛者にとっては不審な動きを検出することが難しくなるという。

 

①攻撃者はGoogleカレンダーの「予定」の「説明(ディスクリプション)」欄にコマンドを配備する

②侵害された標的マシン(GCR)は新たなコマンドを待ってポーリングを行い、コマンドを取得する

③標的マシンでコマンドが実行される

④GCRはGoogleカレンダーの「説明」欄を更新し、コマンド実行結果を記入する

⑤実行結果が攻撃者によって取得される

 

GoogleはPoCが公開された当時、これが実際の攻撃で使用されるのは観測しなかった。sかしその後アンダーグラウンドフォーラムで複数の脅威アクターが同PoCを共有しているのが見つかっていることから、引き続きアクターらがこうしたクラウドサービスの悪用に関心を抱いている事実が浮き彫りになっているとのこと。

SecuriDropper:新たなAndroid向けドロッパー・アズ・ア・サービスがGoogleの防御機能を回避

The Hacker News – Nov 06, 2023

サイバーセキュリティ研究者が、Android向けの新しいドロッパー・アズ・ア・サービス(DaaS)である「SecuriDropper」について明らかにした。ドロッパーとは侵害されたデバイスにペイロードをインストールするためのマルウェアのことで、SecuriDropperの場合はバンキング型トロイの木馬SpyNoteやERMACを配布するのが観測されている。ドロッパーサービスは、他の犯罪グループにその性能を宣伝できる脅威アクターにとって、儲けの大きいビジネスモデルになるのだという。SecuriDropperは、Googleが導入している「制限付き設定」といったセキュリティ対策を回避することを目的としており、一見無害な装って検出を避けることが多い。今年初めに停止された「Zombinder」も、同様の設定を回避する別のドロッパーサービスとして目撃されているが、これら2つのツールの関連性は不明だという。Googleは攻撃手法を常に見直し、マルウェアに対するAndroidの防御機能を向上させることで、ユーザーの安全確保に努めているとコメントしている。

TellYouThePassランサムウェア、Apache ActiveMQへのRCE攻撃に加わる(CVE-2023-46604)

BleepingComputer – Nov 06, 2023

インターネットに公開されたApache ActiveMQサーバーが、TellYouThePassランサムウェアの攻撃でも狙われているという。オープンソースメッセージブローカーであるActiveMQには重大な脆弱性CVE-2023-46604が存在し、これによって認証されていない攻撃者は脆弱なサーバー上で任意のシェルコマンドを実行できるようになる。Apacheは10月27日に同脆弱性を修正するアップデートをリリースしていたが、Arctic Wolf LabsとHuntress Labsは、脅威アクターらがSparkRATの展開のために遅くとも10月10日から同脆弱性を悪用していることを明らかにした。その後HelloKittyランサムウェアによる攻撃での悪用も報告されたのち、今回新たに、TellYouThePassランサムウェアをプッシュする目的での悪用もArctic Wolf Labsによって明かされている。同ランサムウェアは、2年前にLog4ShellのPoCエクスプロイトがネット上で公開されてから活動が大規模になり、活動量が急増していた。さまざまな目的を持った脅威アクターが同脆弱性を悪用していることから、この脆弱性への迅速な対処の必要性が示されているとArctic Wolf Labsは警告している。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ