Cloudflareのトンネル機能を悪用するマルウェアキャンペーンを確認 2024年5〜7月から急増セキュリティニュースアラート

日本プルーフポイントはCloudflareのトンネル機能を悪用したサイバー攻撃キャンペーンが展開されていると報じた。このキャンペーンでは遠隔操作型トロイの木馬が配信されており、2024年5〜7月にかけて活動が急増している。

» 2024年08月19日 08時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 日本プルーフポイントは2024年8月14日、Cloudflareのトンネル機能「TryCloudflare」を悪用した新たなサイバー攻撃キャンペーンが展開されていると報じた。TryCloudflareはアカウントを不要かつ無料で一回限りのトンネルを作成できる機能だ。

Cloudflareトンネルを利用したマルウェア配信キャンペーンに注意

 このキャンペーンは主に遠隔操作型トロイの木馬をターゲットに配信するサイバー攻撃で、2024年2月に初めて観測されて以降、2024年5〜7月にかけて急増したことが確認された。攻撃は金銭的な動機に基づいており「Xworm」と呼ばれるマルウェアが配信されたことが分かった。

 今回のキャンペーンでは、メッセージにインターネットショートカット(.URL)ファイルにリンクするURLや添付ファイルが含まれていた。ファイルを実行するとLNKやVBS、BAT、CMD形式のファイルが実行され、Pythonインストーラーパッケージおよびマルウェアをインストールする一連のPythonスクリプトがシステムにダウンロードされる。マルウェアのインストールを隠蔽(いんぺい)するため、ターゲットに対して正規の通信に見せかけるために無害なPDFが表示される。

 2024年6〜7月にかけて観測されたキャンペーンでは、ほぼ全てのケースでXwormが配信されたが、これまでのキャンペーンでは「AsyncRAT」「VenomRAT」「GuLoader」「Remcos」といったマルウェアも配布されていたことが確認されている。さらにキャンペーンによっては複数の異なるマルウェアペイロードが配信されており、それぞれが固有のPythonスクリプトで異なるマルウェアをインストールしていたことも明らかになった。

 組織やユーザーはこうしたサイバー攻撃に対する防御策を強化するとともに、不審なメッセージやファイルに注意を払うことが求められる。

Copyright © ITmedia, Inc. All Rights Reserved.

メールマガジンのお知らせ

メールマガジン

企業を変革するビジネス視点のメールマガジンを毎朝配信中!!

あなたにおすすめの記事PR