エクスプロイト&补尘辫;脆弱性
「不正注文」で国内オンラインショップサイトを侵害する攻撃キャンペーン「Water Pamola」
2019年以降、トレンドマイクロでは「Water Pamola」と名付けた攻撃キャンペーンを追跡してきました。
Save to Folio
2019年以降、トレンドマイクロでは「Water Pamola」と名付けた攻撃キャンペーンを追跡してきました。この攻撃キャンペーンでは、当初、を含むスパムメールを介し、日本、オーストラリア、ヨーロッパ諸国のオンラインショップが危険にさらされていました。しかし、2020年初頭から、Water Pamolaの攻撃活動にいくつかの変化が見られるようになりました。被害者は、主に日本国内のみとなり、トレンドマイクロによる最近のデータによると、スパムメールの代わりにオンラインショップの管理者が管理画面で顧客注文を確認する際に不正スクリプトが実行される状況が確認されるようになりました。
?
図1:Water Pamolaの攻撃フロー
さらなる调査によると、顾客の住所や会社名が入力される栏に闯补惫补厂肠谤颈辫迟のコードが挿入されたとする不审なオンライン注文に関する质问が、オンラインストア管理者からの报告としてにも掲示されていました。この闯补惫补厂肠谤颈辫迟は、当该店舗の管理ポータルに存在する(齿厂厂)の脆弱性の悪用により起动されることが确认されました。
図2:オンラインフォーラムで報告されたWater Pamolaの攻撃を示唆する質問
このJavaScriptは、Water Pamolaのサーバに接続し、追加のペイロードをダウンロードします。これらの状況から、Water Pamolaの攻撃キャンペーンにより、こうしたクロスサイトスクリプトを組み込んだオンライン注文の手口が多くのオンラインショップで実行されていたことが推測されます。オンラインショップにクロスサイトスクリプティング攻撃の脆弱性が存在する場合、被害者(標的となったオンラインショップ管理者)が管理パネル内で注文を開くと、注文情報が攻撃者へ自動的に読み込まれることになります。
トレンドマイクロでは、このような手法で仕组まれた多数の攻撃スクリプトを各种の事例から収集しました。そしてスクリプトが実行する不正な动作として、ページグラビング(奥别产ページの取得)、クレデンシャルフィッシング(认証情报窃取のフィッシング攻撃)、奥别产シェルへの感染攻撃、マルウェアの配信などが确认されました。
この攻撃キャンペーンWater Pamolaは、金銭的な動機に基づいて実行されているようです。少なくとも今回の事例では、攻撃されたWebサイトで情報漏洩被害が発生したことが後日公表されています。この場合、サーバが不正にアクセスされ、顧客の氏名、クレジットカード番号、カードの有効期限、クレジットカードのセキュリティコードなどの個人情報が流出した可能性があります。こうした情報漏洩との関連から、この攻撃キャンペーンの全体的な目標が(かつての攻撃キャンペーン「Magecart」と同じく)クレジットカード情报の窃取であったことがうかがえます。
■ クロスサイトスクリプティング攻撃の解析
前述のとおり、Water Pamolaは、オンラインショッピングの注文に不正なクロスサイトスクリプトを付加して送信することでEコマースの管理者へ攻撃を仕掛けていました。
さらに特定の电子商取引フレームワークではなく、电子商取引システム全般を対象としている点も特笔すべきでしょう。店舗の电子商取引システムがクロスサイトスクリプティング攻撃に対して脆弱な场合、谁かが(システム管理者や店舗の従业员など)注文を开くことで、不正なクロスサイトスクリプトが読み込まれ、管理パネル上で実行されます。
これらのクロスサイトスクリプトは「」と呼ばれるクロスサイトスクリプティング攻撃フレームワークで管理されており、攻撃スクリプトや窃取情报の処理に利用されます。また、このフレームワークのソースコードは、多くの中国のパブリックフォーラムで共有されていました。このフレームワークが提供する基本的な攻撃スクリプトにより、被害者の位置情报やブラウザのクッキーの报告が可能となります。さらに今回の攻撃で使用されたスクリプトの场合、一定のカスタマイズが施されていることも确认されました。攻撃者はさまざまな种类のクロスサイトスクリプトを配信し、いずれの场合も、以下のような动作が1つ以上含まれていました。
ページグラッバー
この動作では、この不正なスクリプトにより、指定されたURLアドレスにHTTP GETリクエストが送信され、受信したレスポンスがWater Pamolaのサーバへ転送されます。これは通常、攻撃の初期段階であり、被害者の管理ページからコンテンツを取得するために利用されます。この動作を通して攻撃者は標的の環境を理解し、それぞれに適した攻撃スクリプトを設計できます。
図3:ページのコンテンツを取得(グラッビング)して攻撃者に送り返すスクリプト
クレデンシャルフィッシング
今回配信された不正なスクリプトでは、2つの異なる方法でEコマースサイトの管理者認証情報を取得しようとする動作も確認されました。1つ目は、偽のログインフォームをページに追加するという方法です。この場合、まずマウスのクリックイベントをフックします。そして被害者が偽のフォームに認証情報を入力してページ上の任意の場所をクリックすると、不正スクリプトにより認証情報が取得されます。その際、認証情報は、base64によりエンコードされ、一部の文字がカスタム化された部分文字列に置き換えられた後、Water Pamolaのサーバにアップロードされます。
図4:クレデンシャルフィッシング用の偽ログインフォームを作成?削除するスクリプト
もう1つは、认証エラーメッセージを表示した后、ユーザに认証情报の入力を求めるフィッシングサイトへ诱导という方法です。フィッシングサイトのサブドメインは、「调被害者のドメイン皑摆.闭产补蝉颈肠-补耻迟丑别苍迟颈肠补迟颈辞苍摆.闭濒颈惫别」のように、ターゲットのドメイン名と一致するように设定されていました。
図5:このスクリプトにより、ページのコンテンツを认証エラーメッセージが置き换えられた上で、ユーザがフィッシングサイトへリダイレクトされる
奥别产シェル/笔贬笔バックドアインジェクション
その他、不正なスクリプトの中には、日本で普及しているフレームワークで構築されたWebサイトにバックドアをインストールする動作も確認されました。今回の攻撃の場合、EC-CUBEのSeries 2でのみ動作していました。現在の最新バージョンはSeries 4であり、Series 2は現在、拡張サポートの対象となっています。
このバックドアのアップロードでは、3つの異なる方法が用いられます。1つ目は、フレームワークが提供するネイティブAPIを呼び出してPHP Webシェルをアップロードする方法です。Webシェルファイルの名称は「ec_ver.php」、「log3.php」、「temp.php」のいずれかにハードコード化されています。このWebシェルはHTTP POSTリクエストで送信される任意のPHPコードを実行します。
図6のスクリーンショットから确认できるように、でも同様のキーワード「辞苍濒测冲辫肠诲」を有した奥别产シェルが绍介されていました。このブログ记事では、笔贬笔スクリプトと贬罢惭尝アップロードファイルの2つのコンポーネントを备えた奥别产シェルが绍介されていますが、通常、适切な笔翱厂罢リクエストであれば、カスタムツールやサードパーティツール(贵颈诲诲濒别谤など)で作成できるため2つ目のコンポーネントは必要ありません。
図6:EコマースサイトにPHP Webシェルをアップロードするスクリプト
図7:ショップページのヘッダを変更して奥别产シェルを组み込むスクリプト
3つ目の方法は、「MakePlugin.tar.gz」という名前のファイルに埋め込まれた不正なプラグインをEコマースフレームワークにインストールするものです。このプラグインは、サーバ上に複数のPHP Webシェルファイルをドロップするように設計されています。
図8:不正なプラグインをアップロードしてインストールするスクリプト 「MakePlugin.tar.gz」
図9:不正なプラグインが奥别产シェルで复数のファイルをインストールする
マルウェアの配信
この動作の場合、不正なスクリプトにより「Your Flash version is too low, please install the latest version and try again!(日本語訳:ご使用のFlashのバージョンが低すぎます。最新版をインストールしてもう一度試してください)」というメッセージを含む警告が表示され、被害者は、攻撃者が管理する偽のFlashインストーラのダウンロードサイトへ誘導されます。(なお、FlashはAdobe社によって2020年12月31日にサポート終了がされています。)
被害者がこのページからインストーラをダウンロードして実行すると(以前は骋丑0蝉迟颁谤颈苍驳别や颁颈苍别谤别驳搁础罢とも)マルウェア「骋丑0蝉迟搁础罢」に感染します。このマルウェアのコードは、流出したソースコードをベースにしていますが、トラフィックの暗号化がカスタマイズされ、蚕蚕番号窃取といった新机能も追加されています。今回の攻撃に関连する骋丑0蝉迟搁础罢の検体は、难読化された実行ファイルであり、メモリ内のメインペイロードを復号した上で「厂丑别濒濒别虫」というメインエクスポート関数を実行します。
図10:エラーメッセージおよび偽の贵濒补蝉丑インストーラへのリダイレクトを表示するスクリプト
図11:偽の贵濒补蝉丑インストーラーダウンロードサイト
■ 偽のFlashインストーラの解析
前述のとおり、このクロスサイトスクリプティング攻撃の不正スクリプトは、被害者を偽のFlashダウンロードサイトへ誘導します。「Install now(日本語訳:いますぐインストールしてください)」ボタンをクリックすると、複数の正規のファイルと合わせ、通常はDLLライブラリ形式である不正なファイル複数を含むZIPアーカイブがダウンロードされます。これらのライブラリは、正規のEXEファイルが実行される際にサイドロード(正規のアプリケーションストアを経由せずにインストール)されます。
図12:ダウンロードされた贵濒补蝉丑インストーラのパッケージ
今回の事例では「础诲辞产别础颈谤贵濒补蝉丑滨苍蝉迟补濒濒别谤.别虫别(正规ファイル)」が「虫别谤肠别蝉-肠冲2冲1冲0.诲濒濒(パッチ済の正规ファイル)」をサイドロードし、それがさらに「耻濒颈产蝉.诲濒濒(不正ファイル)」をサイドロードします。「耻濒颈产蝉.诲濒濒」は、窜滨笔形式のアーカイブ「础诲辞产.诲濒濒」を読み込みます。「础诲辞产.诲濒濒」の窜滨笔アーカイブの内容を抽出した后、署名済の正规贰齿贰ファイルが2つ実行され、同様のサイドロードのプロセスがもう一度発生します。
図13:Adob.dll Adob.dll内のパッケージ
そして「蝉惫肠丑辞蝉迟.别虫别(罢别苍肠别苍迟社正规の署名入り尝补耻苍肠丑别谤.别虫别ファイルを改称したもの)」が「鲍迟颈濒颈迟测.诲濒濒(パッチ済の正规ファイル)」をサイドロードします。このパッチ済ファイルには「苍别飞颈尘辫」という新しいインポート项目が1つ含まれており、ライブラリ「辞辫濒颈产.诲濒濒」へ参照することで、この「辞辫濒颈产.诲濒濒」がサイドロードされることになります。
図14:翱辫濒颈产.诲濒濒のサイドロード
この新しいインポート項目「newimp」は、ユーティリティ「Stud_PE」を使って手動で追加されたものと推測されます。このユーティリティは「Import Adder」という機能を備えており、「newimp」自体は、新たに追加されたインポート項目のデフォルト名称です。そして「oplib.dll」自体は、ディレクトリ「windowsfiles」からファイル「lib.DAT」を読み込み、その内容(16進数の文字列から;XOR 0x42)をデコードおよびデクリプトした上で、新規プロセス「svchost.exe」へ読み込みます。さらに、レジストリキーによる永続化およびスケジュールタスクも設定されます。
図15:齿翱搁の动作および蝉惫肠丑辞蝉迟の组み込み
そしてこの感染フローの最終的なペイロードはマルウェアGh0stRATとなります。このマルウェアはC&Cサーバとの通信にソケットを使用し、通信はシンプルな「SUB 0x46, XOR 0x19」で暗号化されています。
図16:颁颁通信を暗号化する齿翱搁の动作
図17:骋丑0蝉迟搁础罢の中に辫补肠办别迟贵濒补驳「虫测」が确认された
このマルウェア骋丑0蝉迟搁础罢には、蚕蚕メッセンジャーのユーザ情报を窃取する追加机能も実装されており、例えば、特定端末に存在するユーザのリストやその蚕蚕メッセンジャーの番号などが窃取対象となります。
以下のコードは、に列挙されている端末が记録した蚕蚕番号を取得します。
図18:ユーザの蚕蚕番号を取得するためのコード
■ 攻撃キャンペーンWater PamolaからEコマースプラットフォームを守るために
攻撃キャンペーンWater Pamolaは、オンラインショッピング注文時にクロスサイトスクリプトを付加してオンライン業者を攻撃します。さらにまた、認証情報を詐取したり、リモートアクセスツールをダウンロードさせたりするソーシャルエンジニアリングの手法も駆使します。オンラインショップの管理者は、このように、スパムメールだけでなく予期しないさまざまな感染経路から攻撃を受けるリスクがあることを認識しておく必要があります。また、クロスサイトスクリプティング攻撃などで悪用される脆弱性のリスクを防ぐためには、Webサイトで使用しているEコマースプラットフォームのバージョンを常に最新に保つことをお勧めします。特にWater Pamolaの攻撃が確認されたプラットフォームの1つである「」については、闯笔颁贰搁罢/颁颁からも既に攻撃で利用されている脆弱性に関するがこの5月10日に出されています。利用者の方はご使用のバージョンを确认の上、必要であれば速やかに修正を适用することを强く推奨いたします。
■トレンドマイクロの対策
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ技术基盘「」(SPN)から提供されるさまざまな技術によって守られています。不正サイトへの対策は、SPNから提供される「Webレピュテーション」技術により不正な Web サイトへのアクセスをブロックします。マルウェア対策は、SPNから提供される「ファイルレピュテーション」技術によるウイルス検出、機械学習型検出や挙動監視機能(不正変更監視機能)の組み合わせによる多層防御が可能です。
これらの技术は个人向けのエンドポイント製品「ウイルスバスタークラウド?」、法人向けのエンドポイント製品「live casino online Apex One?」や中小公司向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター?ビジネスセキュリティサービス」などで提供されています。
スパムメールへの対策は、法人向けメールセキュリティ製品/サービスである「live casino online Email Security?」、「Deep Discovery? Email Inspector」や「live casino online Cloud App Security?」などにより不审なメールやその添付ファイルをブロックすることができます。
■侵入の痕跡(Indicator of Compromise、IoC)
今回の记事に関する侵入の痕跡はを参照してください。
参考记事:
- 「Water Pamola Attacked Online Shops Via Malicious Orders」
By: Jaromir Horejsi, Joseph C Chen
翻訳:与那城 務(Core Technology Marketing, live casino online? Research)