BlueAlphaがCloudflareトンネリングサービスをGammaDropステージングインフラストラクチャに悪用

概要

BlueAlphaは、ロシア連邦保安庁（FSB）の指示の下で活動する国家支援型サイバー脅威グループであり、公に報告されているGamaredon、Shuckworm、Hive0051、UNC530のグループと重複しています。BlueAlphaは少なくとも2014年から活動しており、カスタムマルウェアを配布するために執拗なスピアフィッシングキャンペーンを通じてウクライナの組織を標的にし続けています。少なくとも2023年10月以降、BlueAlphaはカスタムVBScriptマルウェアGammaLoadを提供し、データの流出、資格情報の窃取、侵害されたネットワークへの永続的なアクセスを可能にしています。

BlueAlphaがCloudflareトンネリングサービスをGammaDropステージングインフラストラクチャに悪用

BlueAlphaは最近、マルウェア配信チェーンを進化させ、サイバー犯罪脅威グループがマルウェアを展開するために普及させた戦術であるGammaDropマルウェアのステージングにCloudflare Tunnelを活用するようになりました。

主な調査結果：

1. BlueAlphaは、Cloudflareトンネルを利用してGammaDropのステージングインフラストラクチャを隠蔽し、従来のネットワーク検出メカニズムを回避しています。
2. このグループは、メールのセキュリティシステムを回避する高度な手法を駆使し、HTMLスマグリングを通じてマルウェアを配布します。
3. DNS高速フラックスは、コマンド＆コントロール（C2）通信の追跡および妨害の試みを複雑にします。

BlueAlphaがCloudflareトンネルを悪用する方法

Cloudflareは、TryCloudflareツールを利用してトンネリングサービスを無料で提供しています。このツールを使用すると、誰でもランダムに生成されたtrycloudflare.comのサブドメインを使用してトンネルを作成し、そのサブドメインへのすべてのリクエストをCloudflareネットワークを介してそのホストで実行されているWebサーバーにプロキシさせることができます。BlueAlphaはこれを利用して、GammaDropのデプロイに使用されたステージングインフラストラクチャを隠します。

HTMLスマグリング

HTML の密輸により、HTML 添付ファイルに埋め込まれた JavaScript を介してマルウェアを配信できます。BlueAlphaは、検知を避けるために微妙な修正を加えてこの方法を改良しました。 最近のサンプルでは、onerror HTML イベントを使用して悪意のあるコードを実行するなど、難読化解除方法の変更が示されています。

GammaDropおよびGammaLoadマルウェア

BlueAlphaのマルウェアスイートは、そのキャンペーンの中心的存在です：

• GammaDrop：ドロッパーとして機能し、GammaLoadをディスクに書き込み、永続性を確保
• GammaLoad：C2にビーコンして追加のマルウェアを実行できるカスタムローダー

BlueAlphaは、分析を複雑にするために、大量のジャンクコードとランダムな変数名を用いた難読化技術を使用しています。

緩和戦略

1. 電子メール セキュリティの強化: HTML 密輸手法を検査してブロックするソリューションを導入します。onerror などの疑わしい HTML イベントを含む添付ファイルにフラグを立てます。
2. 悪意のあるファイルの実行を制限する: アプリケーション制御ポリシーを実装して、mshta.exeや信頼できない.lnkの悪意のある使用をブロックします。ファイル。
3. ネットワークトラフィックの監視：trycloudflare.comサブドメインへのリクエストと不正なDNS-over-HTTPS（DoH）接続にフラグを立てるルールを設定します。
4. 脅威インテリジェンスの活用：Recorded Futureのマルウェア軽減ソリューションを使用して、疑わしいファイルを分析し、新たな脅威に関する情報を入手します。

今後の展望

BlueAlphaがCloudflareのような合法的なサービスを継続的に使用していることは、回避技術の高度化に対するその注力の現れと言えます。組織は、これらの洗練された脅威に対抗するために、警戒を怠らず、先進的な検出・対応能力に投資する必要があります。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

付録A — 侵害を示す指標

付録B — MITRE ATT&CK手法