重要な標的から機密情報を盗もうとする攻撃の一部として、正規のクラウドサービスを利用するサイバー諜報活動が発見された。
最近では世界中の組織が日常業務にクラウドサービスを利用しており、特にハイブリッドワークへの移行が進んでからは一般的になっている。クラウドアプリケーションは、働き手がどこにいても簡単に仕事ができる手段を提供できるため、リモートワーカーにとって必要不可欠なサービスになった。
ただし、クラウドサービスを利用しているのは、企業やその従業員だけではない。
Palo Alto Networksの脅威インテリジェンスチームであるUnit 42によれば、APT攻撃グループ「Cloaked Ursa」(「APT29」「Nobelium」「Cozy Bear」とも呼ばれる)が、攻撃にクラウドストレージサービスを利用していることが明らかになったという。
Cloaked Ursaは、「Googleドライブ」や「Dropbox」などの正規のクラウドサービスを攻撃に利用することを試みており、5月から6月にかけて発生した攻撃の手口では、すでにこの戦術が使用されている。
この攻撃では、まず欧州の大使館の標的に対して、特定の国の大使との会議への招待メッセージを装ったフィッシングメールが送信され、このメッセージにはPDFファイルで議事次第が添付されている。
このPDFファイルは悪意を持って作成されたもので、意図通りに動作すれば、攻撃者が所有するDropboxアカウントから、被害者のデバイスに悪意のある攻撃者がよく使用する侵入テストツールである「Cobalt Strike」が送り込まれる仕組みになっていた。ところが、最初に発見された事例では、ファイルの送り込みは成功しなかった。研究者らによれば、ネットワークに設定されていたサードパーティーサービスの利用に関するポリシーによってアクセスが制限されていたことも、攻撃が上手くいかなかった原因の1つだという。
しかし、攻撃者は状況に適応し、2回目に送られた同様のフィッシングメールでは、GoogleドライブのAPIを使用して特定のGoogleアカウントと通信する手口を使うことによって、自分たちの行動を隠蔽するとともに、標的の環境にCobalt Strikeやマルウェアのペイロードを導入する仕組みになっていた。この攻撃はブロックされなかったようで、研究者らはその原因の1つとして、多くの職場でGoogleのアプリケーションが日常業務に使用されており、Googleドライブをブロックすれば、生産性が下がると考えられていることを挙げている。
Unit 42の研究者は米ZDNetの取材に対して、「攻撃者は、今後も技術革新を続け、検知を回避し、目的を達成するために、今後も新たな手段を考案していくだろう。GoogleドライブやDropboxを使用する手口は、信頼されているアプリケーションを低コストで利用できる攻撃手段だ」と述べた。
「簡単に言えば、X個のGoogleアカウントを無料で入手するだけで、それを使って簡単に情報の収集とマルウェアのホスティングを行えるということだ。通常の攻撃ではC2インフラを購入する必要があるが、この手のインフラは簡単にブロックされてしまう。この手口を使えば、それを購入する必要もなくなる」
この種の攻撃にはよく見られるように、今回の攻撃の目的は、マルウェアを使って感染したネットワークに侵入するためのバックドアを作成し、秘密情報を盗んで、さらなる攻撃に利用するか、その情報を他の手段で悪用することである可能性が高いという。Unit 42は、この攻撃によってネットワークへの侵入が成功したかどうかについては明らかにしていない。
Unit 42は、DropboxとGoogleの両方に対して、サービスが悪用されており、攻撃に使用されているアカウントに対する処置が必要だと警告した。 両社は攻撃を防ぐための対策を既に講じたという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
