Howler Cell の研究者は、アジア各国の学生やフリーランサーによって運営されている、侵害済みウェブサイトの地下マーケットについて詳細を明らかにした。最新レポートの中心人物はバングラデシュ出身のサイバーセキュリティ専攻の学生で、将来はレッドチームで働くことを目指している一方、侵害済みサイトへのアクセスを販売することで学費を賄っている。彼はそのために、アンチウイルス製品では検知されないPHPバックドア「Beima」とボットネット用コントロールパネルを用いており、主な顧客は中国、インドネシア、マレーシアから来ているという。
Howler Cellによると、この学生は設定不備を抱えた脆弱なWordPressおよびcPanelサイトを購入するか自力で発見し、それらを自身のコントロールパネルに追加したうえで、Telegramを通じてアクセス権を宣伝・販売している。一般的なサイトは3〜4米ドルで売られる一方、.eduや.govドメインのリソースは約200米ドルで取引される。バングラデシュの中央値月収がおよそ220米ドルであることを踏まえると、この手口は、駆け出しのハッカーや同様のモデルで活動する他のフリーランサーにとって、非常に収益性の高いビジネスとなる。
研究者らは、関連するTelegramチャンネル上で販売が宣伝されていたサイトを約5,200件特定した。侵害されたリソースの大半はアジアに所在するが、被害はヨーロッパ、北米・南米、アフリカ、オセアニアにも及んでいる。業種別の分布を見ると、教育機関と政府機関に顕著な集中が見られ、両者で全掲載件数の76%を占めていた。著者らは具体的なドメイン名の公開を控え、各掲載案件を個別に検証したわけではないと強調しているが、出品リストには主要大学、法執行機関、軍事組織、裁判所、そして司法長官事務所などが含まれていた。こうしたインフラが侵害された場合の現実世界での影響は、購入者が新たに得た足掛かりをどのように悪用するかによって大きく異なりうる。
このキャンペーンの技術的中核となっているのが、PHP製のウェブシェル「Beima」である。Howler Cellによれば、このバックドアは2024年5月9日から少なくとも2025年11月まで、VirusTotal上で完全に未検知の状態が続いていた。通常はstyle.phpという名前でアップロードされ、暗号化されたコマンドのみを受け付け、埋め込まれたRSA秘密鍵を用いてそれらを復号する。このインターフェースを通じて、攻撃者は任意コードの実行、ファイルのアップロードや改ざん、インデックスページへの独自コードの注入、サイトコンテンツの差し替え、ランダムなディレクトリへの永続化の確立、さらには侵害サーバーをボットネットノードや偵察・二次攻撃用プロキシとして悪用することができる。
ウェブシェルとの通信はJSON構造と、tool.zjtool[.]topにホストされた専用コントロールパネルを中心に行われる。このインターフェースは全て中国語で記述されており、シェルのコード内に実装されたdoBeima、doLock、doStyleといった機能を反映している。このパネルからオペレーターはターゲットリストのアップロード、追加ペイロードの展開、そしてウェブサイト上の認証情報、クラウドアクセスキー、設定ファイルやバックアップファイル、ビジネス分析データその他の機密情報を探索する列挙スクリプトの実行を行う。
Howler Cellは、出品されていたものの中には、実際に侵害されたサイトではなく、Beimaによる感染フローに対して脆弱なだけの設定不備サイトも含まれていたと指摘する。購入者はそのようなドメインリストに対して代金を支払い、自らエクスプロイトを実行することで、サイバー犯罪の初心者にとっての参入障壁をさらに下げている。
研究者らは、このエコシステムを、より広範なクラウドソーシング型サイバー犯罪モデルの一部として位置づけている。このモデルでは、バングラデシュ、中国、インドネシア、マレーシアおよび周辺国の学生や若手スペシャリストといった分散したアクターが、世界的な水準では比較的少額の報酬で、より組織化されたグループに対し攻撃のための新たな足掛かりを供給している。Telegramは、顧客の獲得、侵害の検証、取引処理のための主要マーケットプレイスとして機能し、ビットコインなどの暗号通貨が匿名性と支払いの容易さを提供している。
WordPressおよびcPanelサイトの所有者に対し、著者らは今回の知見を、基本的なセキュリティ衛生状態を再評価するためのきっかけとして受け止めるよう促している。最優先事項としては、ファイルおよびディレクトリ権限の適切な設定、不要なプラグインやテーマの削除、エンジンやコンポーネントの最新状態の維持、管理者向け多要素認証の有効化、コントロールパネルへのアクセス制限、そしてログの定期的な確認が挙げられる。追加の侵害兆候としては、通常とは異なるディレクトリに存在する不審なPHPファイル、tool.zjtool[.]topへの外向き通信、そしてコード内に含まれるdoBeima、doLock、doStyleといった文字列があり、これらはいずれもBeimaウェブシェルの特徴的な痕跡である。
Howler Cellの評価によれば、このキャンペーンは単一のバックドアがいかに長期間にわたり生き残りうるかを示すだけでなく、比較的単純な管理上の見落としと、フリーランサーにとって低い参入障壁が、侵害済みウェブサイトを土台とした、しぶとく分散した犯罪エコシステムをどのように支えているかを生々しく示している。
翻訳元: https://meterpreter.org/student-sells-hacked-sites-beima-web-shell-undetectable-targets-gov-edu/
