Rodman Ramezanian - エンタープライズクラウドセキュリティアドバイザー
2022年11月17日 7分で読めます
今日、脅威アクターは、ホスティングプロバイダー、ファイル転送サービス、コラボレーションプラットフォーム、カレンダーオーガナイザー、またはそれらの組み合わせといった無料のクラウドツールを悪用し、セキュリティ対策を回避して悪意のあるペイロードを世界中に拡散しています。この事例では、Cofenseの研究者によって最初に報告されたLampionマルウェアキャンペーンに焦点を当てます。

この特定のフィッシングキャンペーンが他のほとんどのキャンペーンよりも脅威となるのは、「WeTransfer」という、正規であり、ほとんどの場合、暗黙的に信頼されているサービスが利用されている点です。ご存じない方のために説明すると、WeTransferはユーザーがコンテンツをアップロード/ダウンロードできる無料のオンラインファイル共有サービスを提供しています。
Lampionは、2019年に初めて確認された既知の脅威株です。初期段階では主にスペイン語圏を標的としていましたが、その後、世界中に活動を拡大しています。しかし、2022年には研究者によって流通量の増加が指摘されており、一部の検出ではBazaarおよびLockBitランサムウェアキャンペーンのホスト名との関連性が見られます。
Lampionマルウェアキャンペーンの背後にいる脅威アクターは、ハッキングされたビジネスアカウントを使用してフィッシングメールを送信し、エンドユーザーにWeTransferでホストされている「支払い証明」の偽ファイルをダウンロードするよう促します。その主な目的は、システムから銀行口座の詳細を抽出することです。ペイロードは、自身のログインフォームを銀行のログインページに重ねて表示します。ユーザーが認証情報を入力すると、これらの偽のログインフォームが盗まれ、攻撃者に送り返されます。
メールがビジネス運営にとって依然として極めて重要な経路であるため、脅威アクターがペイロード配信の最も成功したベクトルの1つとして、そこに多くの注意を向けるのは当然のことです。
そしてもちろん、戦術、技術、手順としてのフィッシングそのものも存在します。私たち人間は、サイバーセキュリティにおいて「最も弱いリンク」と見なされ続けており、巧妙なデコイやソーシャルエンジニアリングの誘惑に陥りがちです。Verizonは最近、2022年のデータ漏洩調査報告書でこの傾向を裏付け、侵害の82%が人間によるものであると述べています。
この種のマルウェアは、悪意のあるリンクへのアクセスが被害者のシステム(信頼されたデバイス)を通じて行われるため、銀行のセキュリティチームにとって特に困難です。さらに、攻撃者が利用/悪用している正規サービスはWeTransferだけではありません。彼らはAmazon Web Services (AWS) のリソースもペイロードのホストに利用しています。

もう一つの困難は、セキュリティツールによって実行される従来のレピュテーションチェックが常に効果的であるとは限らないという事実です。WeTransferのようなある程度評判の良い正規サービスや、一見すると一般的なAWSホストのアドレスは、必ずしもアラートを発するとは限りません。少なくとも、ほとんどのベンダーレピュテーションデータベースでは、評判の面でそう言えます。
このため、異なる、より革新的なアプローチを検討する必要があります。
これらの種類の脅威が、ペイロードを導入するために外部URLの使用に依存し、それによって拡大することを考えると、Remote Browser Isolationは、被害システムが攻撃者の意図するコンテンツに直接アクセスするのを防ぐ最も効果的な方法の1つであることが証明されています。
この方法により、被害者が悪意のあるリンク(このシナリオでは巧妙なWeTransferリンク)をクリックしてしまった不幸な事態が発生した場合でも、リモートで隔離されたブラウザセッションが即座に起動し、システムを今後のあらゆるコンテンツから保護します。
その方法とは?

危険なレピュテーションカテゴリ(例:ファイル共有、Peer2Peer、ギャンブルなど)、URLカテゴリ、IPアドレス、ドメイン、あるいはカスタム作成リストとの一致に基づいて、セキュリティチームは、ユーザーが同様の攻撃の被害に遭った場合でも、そのブラウザセッションからの悪意のあるコンテンツがローカルデバイス自体に到達することはなく、ページの視覚的なピクセルストリームのみが届くようにすることができます。
ユーザーは(管理者の裁量により)通常通りサイトを操作することも、アップロード、ダウンロード、クリップボードの使用などの機能を完全にブロックすることもできます。しかし、この方法により、ページを表示するリモート隔離されたブラウザセッションは、悪意のあるペイロード、Cookie、コンテンツからユーザーとそのデバイスを保護します。
そうすることで、セキュリティチームは、評判のルックアップやバイナリの許可/拒否ポリシーに左右されることなく、羊の皮をかぶった狼を見つけることができます。
サイバーセキュリティ業界で11年以上の豊富な経験を持つ Rodman Ramezanian は、Skyhigh Security のエンタープライズクラウドセキュリティアドバイザーであり、技術アドバイザリー、イネーブルメント、ソリューション設計、アーキテクチャを担当しています。この役割において、Rodman は主にオーストラリア連邦政府、防衛機関、および企業組織に焦点を当てています。
ロッドマンは、敵対的脅威インテリジェンス、サイバー犯罪、データ保護、クラウドセキュリティの分野を専門としています。彼はオーストラリア信号局 (ASD) が認定するIRAP評価者であり、現在、CISSP、CCSP、CISA、CDPSE、Microsoft Azure、およびMITRE ATT&CK CTIの認定資格を保有しています。
率直に言って、ロッドマンは複雑な事柄を簡単な言葉で説明することに強い情熱を持っており、一般の人々や新しいセキュリティプロフェッショナルがサイバーセキュリティの「何を、なぜ、どのように」を理解するのを助けています。