TokyoBlackHatNews

gbhackers.com 4分で読了

ハッカーがSnapのドメインを悪用し、Linuxソフトウェアパッケージに悪意あるコードを注入

Snapは、Linuxのデスクトップ、サーバー、組み込みデバイス向けの、圧縮され暗号学的に署名された、ロールバック可能なソフトウェアパッケージです。

CanonicalのSnap Storeを標的とした巧妙なキャンペーンが劇的にエスカレートしており、脅威アクターは新規アカウントでマルウェアを公開する段階から、期限切れドメインの乗っ取りを通じて既存のパブリッシャーをハイジャックする段階へと移行しています。

これは、Linuxユーザーがこれまでsnapパッケージをインストールする際に頼ってきた信頼シグナルが根本から損なわれていることを意味します。

詐欺師はアカウント復旧メカニズムにおける重大な弱点を見つけました。彼らは、開発者のメールドメインが失効している、何年も前に公開されたsnapを体系的に特定します。

storewise. tech や vagueentertainment.com のようにパブリッシャーのドメイン登録が失効すると、攻撃者はすかさずそれらのドメインを登録し、Snap Storeのパスワードリセット機能を悪用します。

ドメインの支配権を確立すると、「新規パブリッシャー」の警告や、通常は不審なアカウントを検知する強化された精査を発生させることなく、アカウント乗っ取りを実行します。

影響は深刻です。これまで信頼され、長年のインストール履歴を持つsnapが、突然 暗号資産ウォレット 窃取ツールを含む悪意ある更新を配信し、パブリッシャーの継続性を信頼指標としているユーザーにとって正当なものに見える攻撃ベクターを生み出します。

マルウェアのインフラ

分析 によって明らかになったところでは、犯人はクロアチア国内またはその近辺で活動している可能性が高く、主にExodus、Ledger Live、Trust Walletを装った偽の暗号資産ウォレットアプリケーションを展開しています。

これらのアプリケーションは予測可能な攻撃手順を実行します。ユーザーにウォレットのリカバリーフレーズの入力を求め、Telegram 連携を介して認証情報を攻撃者のインフラへ送信し、偽のエラーを表示したうえで、ユーザーが侵害に気づく前にウォレットを空にします。

コマンド&コントロール(C2)インフラの技術調査により、示唆に富む運用セキュリティ上の失敗が明らかになりました。

Image
SnapScope(出典:Alan pope)。

当初の私の目的は、Syftを使って各snapのSBOM(Software Bill of Materials)を生成するWebアプリを作成し、その後Grypeで脆弱性レポートを作成することでした。

バックエンドの接続性テストにより、当初はTelegramボットの識別子とユーザー名(特に「pandadrainerbot」とユーザー「@ikaikaika101」)を含むJSONレスポンスが露出していることが判明しましたが、詐欺師は露見後にこれらの識別子を削除しました。

C2のURLパターンは、機密データを要求する前に接続性を照会し、認証情報を収集する前に送信先インフラが稼働していることを確認します。

脅威アクターは難読化手法を段階的に洗練させてきました。初期の試みは、本物らしく見えるアプリケーションのインターフェースに依存していました。

その後の反復では、ラテン文字を他のアルファベットの見た目が似た文字に置き換える視覚的ホモグリフ攻撃(「d」に対するアルメニア文字のZhe「ժ」、「L」に対するキリル文字のPalochka「ӏ」)が用いられました。

そして最近では、攻撃者はおとり商法的な手法を採用しています。「lemon-throw」や「alpha-hub」のような無害なsnap名を登録し、承認を得るために無害なアプリケーションを公開した後、信頼を得てからウォレット窃取ツールを含む悪意ある改訂版を配信します。

緩和策

Snap Storeのセキュリティモデルはコミュニティによる報告に依存しており、マルウェアの公開から削除までに遅延が生じます。

パブリッシャーはドメイン登録を有効な状態に維持し、二要素認証を有効化する必要があります。Canonicalはパブリッシャーアカウントのドメイン失効監視を実装し、休眠アカウントに対して必須の 2FAアカウント を強制し、失効ドメインからのアカウント復旧の前に追加の検証を要求すべきです。

介入が行われる前に、ユーザーが悪意あるアプリケーションに遭遇し、インストールし、侵害される可能性があります。公開されているsnapは7,000以上あり、公開の障壁も最小限であるため、攻撃対象領域は依然として広大です。

ユーザーは、どのアプリストア由来であっても暗号資産ウォレットアプリケーションを避け、代わりに公式プロジェクトのWebサイトから直接ダウンロードすべきです。公開から検知までのギャップは、信頼できないソースから安全にインストールするには依然として短すぎます。

翻訳元: https://gbhackers.com/snap-domains/

ソース: gbhackers.com
#Linux #SBOM(Software Bill of Materials) #Snap Store #アカウント乗っ取り #サプライチェーン攻撃 #ドメイン乗っ取り #フィッシング #マルウェア #二要素認証(2FA) #暗号資産ウォレット

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚