出典:Danish Khan(Alamy Stock Photo経由)
新たなサイバー犯罪グループが、さまざまな地域の信頼性の高い組織のWebサーバーに感染し、機密情報を盗み出しています。
脆弱なインターネット公開サーバーは、世界中の誰にとっても、悪意を持ったキーボードユーザーにとっては格好の標的です。ハッカーはこれらをあらゆる種類の攻撃の第一歩として利用できますが、UAT-8099があなたのサーバーを選んだ場合、1種類の攻撃だけでは済みません。
Cisco Talosの研究者は、この新しいサイバー犯罪オペレーションが、信頼性の高い組織のInternet Information Services(IIS)サーバーを乗っ取っていることを発見しました。これらのサーバーは二重の役割を果たしており、攻撃者はモバイル検索エンジンのトラフィックをスパム広告や違法ギャンブルサイトに誘導する一方で、機密性の高いアクセスデータを保存しており、攻撃者がそれを売却したり、さらなる攻撃に利用する可能性があります。
多くの点でUAT-8099は、ESETが「GhostRedirector」と呼ぶグループや、Palo Alto NetworksのUnit 42が「CL-UNK-1037」と名付けたグループ(Cisco Talosが「Dragonfly」と呼ぶグループと関連)など、他の中国語系SEO詐欺グループと似ています。これらの異なるオペレーションの正確な境界線は依然として不明瞭です。
Cisco Talosは、Dark Readingに対してこれ以上の情報提供を拒否しました。
信頼性の高いサイトを乗っ取るSEO詐欺
UAT-8099が関心を持つサーバーは、世界中の主要な組織(テクノロジー企業、通信事業者、大学など)によって運用されており、ブラジル、カナダ、インド、タイ、ベトナムなどの国々が含まれます。
これらの組織のIISサーバーは、まさに格好の標的です。まずサーバーが発見可能であるだけでなく、完全に無制限のファイルアップロードが許可されている設定になっています。このようなサーバーにオープンソース(OSS)のWebシェルをアップロードするのは簡単で、その後偵察情報の収集を開始できます。
ここから攻撃者は、サーバー上のゲストアカウントを利用し、その権限を管理者権限まで昇格させ、リモートデスクトッププロトコル(RDP)アクセスを有効にします。また、リモートアクセスのために他のいくつかのOSSリバースプロキシや仮想プライベートネットワーク(VPN)ツール、さらに「D_Safe_Manage」というIISセキュリティプログラムを被害者のサーバーに導入し、独占的にアクセスできるようにします。
最終的に彼らは「BadIIS」をインストールします。これは、検索エンジン最適化(SEO)詐欺に注力する中国語話者の脅威アクターがよく使うツールです。BadIISは、SEOポイズニングや悪意あるリダイレクトを目的としてウェブサイトのトラフィックを傍受するIISインプラントの総称のようです。
例えばUAT-8099の場合、BadIISは信頼性の高い組織のウェブサイト上に設置され、訪問者を待ち受けます。もしその訪問者が検索エンジンクローラーであれば、「ギャンブル」「現金」「ベット」など、オンラインギャンブルやゲームに関する検索で上位表示されるためのSEO用語を大量にクローラーに送り込みます。
もし訪問者が人間で、正当な目的(例えば学生が大学のリソースを探しているなど)でサイトを訪れている場合は、BadIISによる影響は受けません。
侵害されたウェブサイトの高い信頼性と、BadIISによる検索エンジンクローラーへの働きかけのおかげで、第三のシナリオも生まれます。つまり、人間の訪問者が「オンラインカジノ」などを検索してUAT-8099に侵害された結果にたどり着いた場合です。こうした訪問者は特定されると、自国語の詐欺広告やギャンブルサイトにリダイレクトされます。
このように、攻撃者と被害者の双方がそれぞれ望むものを得ているとも言えます。正規の訪問者は被害組織が意図した通常のユーザー体験を得られますが、攻撃者はその信頼性を利用して詐欺を宣伝できます。
本当に気にする必要があるのか?
UAT-8099は、データ窃盗を通じて被害者に最も直接的な被害を与えます。脆弱なサーバーへのアクセスを利用し、Cobalt Strikeバックドアを設置、さまざまな認証情報や設定ファイル、証明書情報を収集し、さらなる攻撃やダークウェブでの売却に活用します。
それ以外にも、UAT-8099の攻撃はターゲットとなった組織やそのウェブサイト利用者にはほとんど見えません。そのため、攻撃の発見が難しいだけでなく、関心を持つこと自体も難しくなります。
GuidePoint Securityの主任脅威インテリジェンスコンサルタントであるGrayson North氏は、この種の攻撃について、ある国のコンピュータ緊急対応チーム(CERT)のメンバーと話したことを振り返ります。「彼らはこの手法で侵害されたウェブサイトを検出する方法を持っていて、サイト運営者に連絡し『あなたのサイトは侵害されています』と伝えます。しかし運営者は自分のサイトを確認してもコードが変わっていないので『侵害されていない、大丈夫だ』と言い、その後メールの返信をやめてしまうのです。」
他の種類のサイバー攻撃とは異なり、「実際には、彼らに関心を持たせて対応させるのは難しい」と彼は嘆きます。たとえ即座の影響がなくても、組織はウェブインフラのクリーンアップを強く推奨されます。
NetcraftのエンジニアリングディレクターであるGraham Edgecombe氏は、「ここで重要なのは、こうした隠しリンクを正規組織のウェブサイトに挿入するのに使われている脆弱性は、他の用途でも非常に強力だということです」と指摘します。同じ種類の攻撃で、ターゲットサイトのコンテンツを変更することもできます。「例えば、あなたのウェブサイトにスクリプトを挿入することも可能です。そのスクリプトは、クッキーを記録して攻撃者に送信したり、ユーザー名やパスワード、クレジットカード情報を記録したりでき、これらすべてがあなたのウェブサイトや正規の利用者に直接影響を与えるのです。」
