Cloudflareのトンネル機能を悪用するマルウェアキャンペーンを確認 2024年5〜7月から急増：セキュリティニュースアラート

日本プルーフポイントはCloudflareのトンネル機能を悪用したサイバー攻撃キャンペーンが展開されていると報じた。このキャンペーンでは遠隔操作型トロイの木馬が配信されており、2024年5〜7月にかけて活動が急増している。

[後藤大地，有限会社オングス]

　日本プルーフポイントは2024年8月14日、Cloudflareのトンネル機能「TryCloudflare」を悪用した新たなサイバー攻撃キャンペーンが展開されていると報じた。TryCloudflareはアカウントを不要かつ無料で一回限りのトンネルを作成できる機能だ。

Cloudflareトンネルを利用したマルウェア配信キャンペーンに注意

　このキャンペーンは主に遠隔操作型トロイの木馬をターゲットに配信するサイバー攻撃で、2024年2月に初めて観測されて以降、2024年5〜7月にかけて急増したことが確認された。攻撃は金銭的な動機に基づいており「Xworm」と呼ばれるマルウェアが配信されたことが分かった。

　今回のキャンペーンでは、メッセージにインターネットショートカット（.URL）ファイルにリンクするURLや添付ファイルが含まれていた。ファイルを実行するとLNKやVBS、BAT、CMD形式のファイルが実行され、Pythonインストーラーパッケージおよびマルウェアをインストールする一連のPythonスクリプトがシステムにダウンロードされる。マルウェアのインストールを隠蔽（いんぺい）するため、ターゲットに対して正規の通信に見せかけるために無害なPDFが表示される。

　2024年6〜7月にかけて観測されたキャンペーンでは、ほぼ全てのケースでXwormが配信されたが、これまでのキャンペーンでは「AsyncRAT」「VenomRAT」「GuLoader」「Remcos」といったマルウェアも配布されていたことが確認されている。さらにキャンペーンによっては複数の異なるマルウェアペイロードが配信されており、それぞれが固有のPythonスクリプトで異なるマルウェアをインストールしていたことも明らかになった。

　組織やユーザーはこうしたサイバー攻撃に対する防御策を強化するとともに、不審なメッセージやファイルに注意を払うことが求められる。