出典:Ink Drop via Alamy Stock Photo
アジアの脅威アクターたちは、しばしば高価値の組織に属する設定ミスのウェブサイトへのアクセスを、わずかな金額で購入している。
ターゲットのサイバーマンデーは忘れてほしい。バングラデシュの大学生が、ここ1年半にわたり、世紀のサイバー取引を提供している。CyderesのHowler Cellの研究者たちは最近、バングラデシュの大学生で、将来はレッドチームのサイバー防御者になることを目指し、教育資金を脆弱なウェブサイトへのアクセスをTelegramで1件あたり3~4ドルで販売することで賄っていると主張する人物と連絡を取った。大規模で世界的に有名な大学、法執行機関、軍事組織、裁判所、検事総長などのウェブサイトの場合は、わずか200ドルだ。
これはより大きな問題を示唆している。つまり、このハッカーの顧客の多くは間違いなく金銭目的だが、中にはより大きな目的、すなわちスパイ活動を狙っている者もいるということだ。その証拠として、一部の購入者はこの安価なサイトを利用して、「Beima」と呼ばれる高度で長期間発見されなかったコマンド&コントロール(C2)ツールを展開している。
Telegramで販売されるウェブサイト
「私たちはこの学生ハッカーから調査を始め、掘り下げていくうちに、はるかに大きなエコシステムが存在することがわかりました」とCyderesのHowler Cellのシニアバイスプレジデント、ブライアン・ハッシーは振り返る。
特定のTelegramチャンネルでは、低~中程度の脅威アクターたちがまったく同じことをしている。中には、設定ミスのウェブサーバーを見つけて悪用することで実績を積む者もいれば、それらのサイトを悪用するために必要なシェルをパッケージ化して販売する者もいる。大文字や絵文字があふれる投稿で、.edu、.gov、.comのサイトが販売されており、支払いは暗号通貨で行われる。
他の者はそのアクセスやシェルを購入したり、自作のエクスプロイトツールを使ったりして、実際のサイバー攻撃を実行する。ハッシーはこれらのチャンネルで「学生、セキュリティ研究者、その他本業がある人たちが、全体のサイバー犯罪プロセスのごく一部だけを担っているのを目にした」と述べている。
この特定のケーススタディでは、注目すべき学生ハッカーが脆弱なWordPressサイトや、cPanelで不適切に管理されたサイトを収集している。例えば、管理者がWordPressインストーラーを残したままにしている場合、侵入者はそれを使ってインストールプロセスを再実行し、サイトを乗っ取ることができる。また、弱いまたはデフォルトの管理者パネルの認証情報や、認証情報やAPIキーなどの機密データを含む.envファイルが露出している場合も悪用される。
サイバー犯罪で最高の取引
店主が新しい商品を棚に並べるように、学生ハッカーはタグ付けした多くのウェブサイトをボットネットに集め、そのパネルから様々な購入者に管理・配布している。彼は現在、世界中の組織に属する5,200以上のサイトを販売しており、その72%がアジアに集中している。最も多いのはインドネシアで、他にもインドや南・東南アジア諸国、ブラジル、リビア、アメリカなどが含まれる。
彼が侵害したサイトのほぼ半数は教育分野、さらに4分の1は政府分野に属している。これらのサイトははるかに高値で取引されており、1件あたり最大220ドルにもなる。対して、より一般的なサイトは1件3~4ドルで販売されている。
この大きな偏りは、彼の顧客の好みをほぼ確実に反映している。主に中国、マレーシア、インドネシアの脅威アクターたちだ。また、これらの購入者が単なる金銭目的ではなく、公共機関や大学が機会的なスパイ活動に従事する脅威アクターにとって比較的価値が高いことを示唆している。
Beimaウェブシェル
Cyderesが観測した80件のケースで、学生ハッカーのサイトはこれまで文書化されていなかったBeimaウェブシェルに感染していた。
一人で行うウェブサイト販売という大胆な背景の中で、Beimaは特に高機能な存在として際立っている。これは中国語のプログラムで、シェルが本来できること――マルウェアのアップロード、様々なデータの窃取、一般的なコマンド&コントロール(C2)――をすべて実行できるが、それらの悪意ある機能を隠すためのステルス機構も備えている。
このプログラムは暗号化されたコマンドのみを受け付け、ハードコーディングされたRSAキーで復号する。攻撃者のパネルとはJSONを使って通信し、C2通信を通常のWeb API呼び出しに紛れ込ませる。また、攻撃者が被害者サーバーにペイロードをアップロードしたい場合、Beimaはそれをランダムなディレクトリに追加し、タイムスタンプを6~12か月前に改ざんする。この小さな偽装により、ペイロードは新規または最近変更されたファイルを探すプログラムの目を逃れることができる。
シェル自体も比較的無害で、使われ方によってのみ悪意があるといえる。そのため、ハッシーは「伝統的なセキュリティベンダーが見逃す理由は、ウイルスシグネチャデータベースの助けを借りてマルウェアを検出しているからだ」と述べており、Beimaは明らかに悪意あるものとして認識されない。Cyderesによれば、Beimaは「現在、最新のセキュリティツールでは完全に検出不可能」だという。
翻訳元: https://www.darkreading.com/threat-intelligence/govt-university-sites-chinese-actors
