EtherHidingを悪用した攻撃、ClickFixペイロード用インフラをPolygonブロックチェーン内に隠蔽

デジタル資産プラットフォームArtlistのサブドメインが侵害され、偽のCAPTCHAキャンペーンを通じて高度なリモートアクセス型トロイの木馬(RAT)が配布されていたことが、研究者らの調査で明らかになりました。

今回の攻撃はnew-blog. artlist[.]ioを標的としたもので、攻撃者はサイトに悪意あるJavaScriptを注入し、全画面表示の「人間確認」オーバーレイを表示させていました。

この誘導手口は、近年利用が広がっているClickFixの手法を用いています。ブラウザの脆弱性を突くのではなく、訪問者自身に悪意あるコマンドを実行させるよう仕向けるものです。

今回のキャンペーンで注目されるのは、EtherHidingと呼ばれる回避技術の使用です。これはブロックチェーン上のスマートコントラクトを通じてペイロード配信用インフラの情報を保存・取得する手法です。

今回のケースでは、侵害されたウェブサイトがPolygonブロックチェーン上のコントラクトに問い合わせを行い、次段階のペイロードサーバーの最新アドレスを取得していました。

Hudson Rockによると、今回の侵害は2023年8月にイスラエル在住のフリーランスWordPress開発者のパソコンで発生したインフォスティーラー感染に端を発している可能性があるとのことです。

研究者らは、窃取されたデータにArtlistブログに関連するWordPressログインポータルの認証情報が含まれていたことを突き止めました。この認証情報は元シニアコンテンツ担当者のものとされ、攻撃者はこれによりサイトのバックエンドへの特権的アクセスを得ていたとみられます。

有効なWordPressアクセス権限を手に入れたことで、攻撃者はArtlistの公開インフラに技術的な欠陥を突く必要もなく、サイトのテンプレートを改ざんし、悪意あるJavaScriptを埋め込むことができました。

Hudson Rockは、今回の事案がインフォスティーラーのログ情報によって、信頼されたビジネスドメインが初期感染から何年も経過した後にマルウェア配信基盤へと変貌しうることを示していると指摘しています。

注入されたJavaScriptは大掛かりに難読化されており、次段階を実行するためにBase64デコードとXORキーを組み合わせて利用していました。

侵害されたウェブページに固定の悪意あるURLを埋め込むのではなく、PolygonのRemote Procedure Callエンドポイントに対してeth_callリクエストを送信する仕組みになっていました。

このコントラクトが返すアドレスは配信インフラのものであり、研究者らはこれをauth-code-check[.]infoと特定しました。この設計により、防御側がサーバーをブロックしたり差し押さえたりした場合でも、攻撃者側は柔軟にペイロードサーバーを切り替えられる仕組みになっています。

攻撃者は、侵害されたWordPressサイトを再感染させたり改変したりすることなく、コントラクトが返す値を更新するだけで済むとHudson Rockは述べています

次段階のURLを取得した後、スクリプトはClickFixのオーバーレイを読み込みます。被害者はWindows+XキーでWindowsターミナルを開き、ターミナルのオプションを選択したうえで、Ctrl+Vで貼り付けてEnterキーでコマンドを実行するよう指示されます。

被害者が気づかないうちに、このウェブページはすでにPowerShellのコマンドをクリップボードにコピーしていました。

このコマンドはfdupdate.zipという名前のパスワード保護されたアーカイブをダウンロードし、あらかじめ用意された7-Zipのコピーを使って展開したうえで、fdupdate.exeを実行します。これはStruSoft FEM-Designに関連する正規の署名付きアップデータです。

注: IPアドレスおよびドメイン名は、意図しない名前解決やハイパーリンク化を防ぐため、意図的に無効化表記(例: [.])としています。再度有効な形式に戻す場合は、MISP、VirusTotal、あるいはSIEMなど、管理された脅威インテリジェンス基盤内でのみ行ってください。

翻訳元: https://cyberpress.org/etherhiding-conceals-clickfix-infrastructure/

ソース: cyberpress.org