ECサイトのセキュリティ対策などに強みを持つオランダのセキュリティベンダSansecの発表により、今週末(2020年9月11日~14日)にかけて、Magentoで構築されたECサイトに対する過去最大規模の攻撃が観測されたことが明らかになりました。

sansec.io

本攻撃は、特にMagentoで構築されたECサイトを狙う攻撃グループとして知られるMagecartによる攻撃だとされています。

Magecartについては、過去の記事でも紹介しているので、ご参考にしてください。

micro-keyword.hatenablog.com

micro-keyword.hatenablog.com

目次

• 攻撃の被害規模
• ハッキングフォーラムで売買されるMagentoのゼロディ悪用方法
• 攻撃の痕跡
• まとめ

攻撃の被害規模

今回攻撃の被害に遭ったサイトのほとんどは、2019年の6月にサポートが終了したMagento 1で構築されており、Magento 2で構築されたECサイトはわずかだったとのことです。

Sansecの観測では、現在も約95,000件のMagento 1プラットフォームが稼働しています。

sansec.io

Sansecの検知システムにて、Magentoのチェックアウトページへキーロガーの埋め込みが確認されたサイト数は1,904件で、日ごとの内訳としては、以下のようでした。

• 金曜日(2020/09/11)
  • 10件
• 土曜日(2020/09/12)
  • 1,058件
• 日曜日(2020/09/13)
  • 603件
• 月曜日(2020/09/14)
  • 223件

この情報が公開された当日が月曜日だったことから、本攻撃が今もなお継続している可能性があります。

また、Sansecの見解として、これら侵害されたサイトのうちひとつからは、数万件単位で顧客情報が漏洩していることが推定されています。

Sansecは2015年以降継続して、類似の攻撃を観測しているとのことですが、これまでの最大値は2019年7月に確認された962件であり、今回の攻撃が最大規模であることがわかります。

Our crawlers detected 962 breached stores last night. It is the largest automated campaign to date (previously: MGCore with 700 stores). Decoded skimmer: https://t.co/CCVakmMrR5 pic.twitter.com/nIHQFwtRXN

— Sansec (@sansecio) 2019年7月5日

ハッキングフォーラムで売買されるMagentoのゼロディ悪用方法

今回被害に遭ったECサイトでは、過去のセキュリティインシデントの被害にはあっていないとのことでした。そのことから、今回の攻撃において、新たな攻撃手法が用いられていると推測されます。

可能性として、8月の中旬にハッキングフォーラムにて売り出されたMagento 1のゼロディが利用されているのではないかと、Sansecは推測します。

以下の画像の通り、z3r0dayによって、$5,000でリモートコード実行の悪用方法を紹介したビデオを含むセットを販売している様子です。

販売数は10点なようですが、Magecartにまんま利用されている可能性は大いにありそうです。

攻撃の痕跡

Magecartの攻撃は、効果的に実行することを心掛けているからか、自動化した運用を行っていることが攻撃の痕跡からもわかります。

攻撃者は米国のサーバとフランスのサーバ(OVH)経由でMagentoの管理画面を操作し、Magento Connectという機能経由で、mysql.phpという名のマルウェアを含む様々なファイルを取得しています。

以下は、確認されたWebサーバへのアクセスログの一部です。

2020-09-14T09:57:06  92.242.62.210  GET /downloader/ HTTP/1.1
2020-09-14T09:57:09  92.242.62.210  POST /downloader/ HTTP/1.1
2020-09-14T09:57:09  92.242.62.210  GET /index.php/admin/?SID=XXXX HTTP/1.1
2020-09-14T09:57:10  92.242.62.210  GET /index.php/admin/dashboard/index/key/<hash>/ HTTP/1.1
2020-09-14T09:57:13  92.242.62.210  GET /index.php/admin/system_config/index/key/<hash>/ HTTP/1.1
2020-09-14T09:57:15  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1
2020-09-14T09:57:19  92.242.62.210  POST /index.php/admin/system_config/save/section/dev/key/<hash>/ HTTP/1.1
2020-09-14T09:57:20  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1
2020-09-14T09:57:22  92.242.62.210  GET /index.php/admin/import/index/key/<hash>/ HTTP/1.1
2020-09-14T09:57:25  92.242.62.210  POST /index.php/admin/import/validate/key/<hash>/ HTTP/1.1
2020-09-14T09:57:25  92.242.62.210  GET /downloader/ HTTP/1.1
2020-09-14T09:57:28  92.242.62.210  POST /downloader/index.php?A=connectInstallPackageUpload&maintenance=1&archive_type=0&backup_name= HTTP/1.1
2020-09-14T09:57:29  92.242.62.210  GET /downloader/index.php?A=cleanCache HTTP/1.1
2020-09-14T09:57:31  92.242.62.210  GET /mysql.php HTTP/1.1

不正なコードを一通りprototype.jsに追加したのち、取得されたファイルは自動的に削除されます。

この、prototype.jsは、被害を受けたMagento 2のサイトではjquery.jsという名で見つかっているようです。

いずれのjsファイルにおいても、以下のソースコードからわかるようにmcdnn[.]netドメインから、同じマルウェアwidget.jsの取得を試みるようです。

//mcdnn[.]net/122002/assets/js/widget.js はインストールされたパスのページに応じた動的コンテンツを提供します。

そして、チェックアウトページから参照されたときのみ、悪意のあるキーロガーが取得されるとのことです。

実際の支払いは、モスクワにホストされているhttps://imags[.]pw/502.jspに漏洩するとのことで、当該ドメインはmcdnn.netと同じネットワークに所属するとのことです。

まとめ

先日、WordPressのプラグインにて確認された脆弱性の記事を公開しましたが、CMSへの脅威としては、Magento含め他のプラットフォームにも広く存在します。

micro-keyword.hatenablog.com

自身も、サイト運営などを試みていますが、脆弱性対応含め、運用って大変だな～と思う次第です。

もちろん、目的次第ではありますが、ブログにしてもアプリにしても、SaaSを利用した利便性に甘んじたくなってしまいますよね。

まずは、実際にトライしてみて、それぞれの方法における利点欠点が確認できると一番いいのかなと思っています。

Wordfenceのブログにて、WordPressのプラグインFile Managerに存在していたゼロディ脆弱性と攻撃の悪用情報が明らかになりました。

wordfence.com

当該脆弱性のパッチは、昨日、2020年9月1日(現地時間)に公開されたとのことですが、アクティブインストールの数も700,000件を超えており、早急なバージョンアップが推奨されています。

当記事では、脆弱性に関する情報と周辺情報をまとめ、公開します。

目次

• 脆弱性の概要と影響範囲
• 利用状況と日本ユーザへの影響予測
• WordPress運用者へのススメ
• まとめ

脆弱性の概要と影響範囲

Wordfenceの脅威インテリジェンスチームの発表によると、WordPressのプラグインFile Managerにゼロディ脆弱性が存在し、すでに攻撃への悪用を確認しているとのことです。

脆弱性の影響は以下です。

• 認証されていないユーザがコマンド実行可能
• 悪意のあるファイルをサイトにアップロードすることが可能
• 結果、遠隔から任意のコードを実行することが可能になる

パッチはすでに公開されており、最新バージョン6.9へのバージョンアップで対応可能です。

以下、File Managerの公式ページ

wordpress.org

• 脆弱性の概要
  • プラグインに含まれるライブラリelFinderが脆弱性の起点として使われていた
    • elFinderはオープンソースのファイルマネジャーで、ファイル管理のためのインターフェース作成およびコア機能を提供している
  • elFinderに含まれるconnector.minimal.php.distファイルの拡張子を.phpに直接変更することができる
  • 本来であれば、アクセス制御なしに利用されることが想定されていない当該ファイルに、アクセス制御がかかっていないことが問題
    • つまり、誰にでもアクセスできてしまう
  • このファイルにより、elFinderのコマンドを開始できてしまう
    • 以下に、実行可能なコマンドリストを転記します(割といろいろなことができます)

/**
  * Commands and required arguments list
  *
  * @var array
  **/
 protected $commands = array(
     'abort' => array('id' => true),
     'archive' => array('targets' => true, 'type' => true, 'mimes' => false, 'name' => false),
     'callback' => array('node' => true, 'json' => false, 'bind' => false, 'done' => false),
     'chmod' => array('targets' => true, 'mode' => true),
     'dim' => array('target' => true, 'substitute' => false),
     'duplicate' => array('targets' => true, 'suffix' => false),
     'editor' => array('name' => true, 'method' => true, 'args' => false),
     'extract' => array('target' => true, 'mimes' => false, 'makedir' => false),
     'file' => array('target' => true, 'download' => false, 'cpath' => false, 'onetime' => false),
     'get' => array('target' => true, 'conv' => false),
     'info' => array('targets' => true, 'compare' => false),
     'ls' => array('target' => true, 'mimes' => false, 'intersect' => false),
     'mkdir' => array('target' => true, 'name' => false, 'dirs' => false),
     'mkfile' => array('target' => true, 'name' => true, 'mimes' => false),
     'netmount' => array('protocol' => true, 'host' => true, 'path' => false, 'port' => false, 'user' => false, 'pass' => false, 'alias' => false, 'options' => false),
     'open' => array('target' => false, 'tree' => false, 'init' => false, 'mimes' => false, 'compare' => false),
     'parents' => array('target' => true, 'until' => false),
     'paste' => array('dst' => true, 'targets' => true, 'cut' => false, 'mimes' => false, 'renames' => false, 'hashes' => false, 'suffix' => false),
     'put' => array('target' => true, 'content' => '', 'mimes' => false, 'encoding' => false),
     'rename' => array('target' => true, 'name' => true, 'mimes' => false, 'targets' => false, 'q' => false),
     'resize' => array('target' => true, 'width' => false, 'height' => false, 'mode' => false, 'x' => false, 'y' => false, 'degree' => false, 'quality' => false, 'bg' => false),
     'rm' => array('targets' => true),
     'search' => array('q' => true, 'mimes' => false, 'target' => false, 'type' => false),
     'size' => array('targets' => true),
     'subdirs' => array('targets' => true),
     'tmb' => array('targets' => true),
     'tree' => array('target' => true),
     'upload' => array('target' => true, 'FILES' => true, 'mimes' => false, 'html' => false, 'upload' => false, 'name' => false, 'upload_path' => false, 'chunk' => false, 'cid' => false, 'node' => false, 'renames' => false, 'hashes' => false, 'suffix' => false, 'mtime' => false, 'overwrite' => false, 'contentSaveId' => false),
     'url' => array('target' => true, 'options' => false),
     'zipdl' => array('targets' => true, 'download' => false)
 );

ただし、脆弱性の悪用時も1点制限があり、elFinderが備えるディレクトリトラバーサル機能により、 plugins/wp-file-manager/lib/files/ を超えた範囲でのコマンド実行はできないとのことです。`

• 確認された手法
  • 実際の攻撃では、先ほど紹介したコマンドのうち upload が利用されていた
  • upload　コマンドで、webshellを埋め込んだ画像を含むPHPファイルをアップロードしていた
  • 配置先は plugins/wp-file-manager/lib/files/
  • これまでに攻撃でアップロードが確認されたファイル名
    • hardfork.php
    • hardfind.php
    • x.php

利用状況と日本ユーザへの影響予測

公式サイトからも確認できる通り、File Managerは70万件以上のアクティブインストールが確認されています。

そして、2020年9月3日現在、パッチ適用後のバージョン6.9へアップデートしているのは全体の6.8%とのことなので、まだ、6万5,000件以上のサイトが脆弱な状況であると分かります。

公式サイトからは、日本のユーザがどの程度存在するかはわかりません。

ただ、Googleで「wordpress file manager 日本語」と検索しても、50万件以上ヒットすること。

また、サポートサイトを見る限り、日本語化対応もされていることから、おそらく影響範囲も広いと考えられます。

ja.wordpress.org

WordPress運用者へのススメ

以前にも当ブログでは、WordPressプラグインの脆弱性について取り上げました。

micro-keyword.hatenablog.com

WordPressプラグインの脆弱性といっても、年間で相当な数の情報が上がってくるため、すべてをウォッチし対処するのは現実的に難しいと考えています。

明確に基準を設けているわけではないですが、おおよそ以下のような判断基準で記事にまとめています。

• 脆弱性が確認されたプラグインが100万件近くインストールされていること
  • 50万件以上であっても日本への影響次第では発信することもある
• 脆弱性の悪用がすでに確認されていること

また、WordPressに関する脆弱性情報の収集源としては、以下の2つのサイトを活用しています。

• Wordfenceブログ
  • https://www.wordfence.com/blog/
• SUCURIブログ
  • https://blog.sucuri.net/

もちろん、これらのサイトを見ていれば、網羅できるというわけではありませんが、特にこの2社はWordPressを専門とするセキュリティベンダなだけあって、情報のキャッチアップには優れています。

WordPressのホスティングソリューションを提供するKinstaというベンダもこの2社の比較記事をリリースしているくらいですからね。

kinsta.com

まとめ

今回は、脆弱性情報とともに、WordPress関連の脆弱性情報収集についても少し触れました。

私自身、ブログをWordPressに切り替える検討を、随時行っていて、セキュリティ情報をウォッチしていることもあり、WordPress関連の脆弱性は運用負荷に大きく影響を与えるものだと思っています。

そのため、こういった情報が運用者の皆様に役立てばと思い、記載させていただきました。

そういった情報はさておき、兎にも角にも、今回の記事の本質は、File Managerの早期アップデートです。

File Managerの利用が思い当たる方は、記事を確認次第、お早めのアップデートをご検討ください。

フィンランドに本社を構えるセキュリティベンダーF-Secureの調査レポート、および米国のCISAとFBIと財務省が出した共同注意喚起にて、北朝鮮のサイバー犯罪グループLazarusおよびBeagleBoyzによる攻撃活動が立て続けに明らかになりました。

https://labs.f-secure.com/assets/BlogFiles/f-secureLABS-tlp-white-lazarus-threat-intel-report.pdf

us-cert.cisa.gov

後述しますが、このBeagleBoyzというハッキンググループも、活動の共通点などからLazarusの派生組織だと考えられています。

Lazarusの記事は、先月もKasperskyの情報をもとにリリースしていますので、併せてご確認いただけると幸いです。

micro-keyword.hatenablog.com

目次

• 暗号資産交換業者を狙った攻撃
• 世界中の銀行を標的にした攻撃
• まとめ

暗号資産交換業者を狙った攻撃

F-secureの調査によると、攻撃の起点は、LinkedInの個人アカウント経由で送られるフィッシングドキュメントだとのことです。

当該ドキュメントは、「受信者のスキルに合った、暗号資産交換事業者への求人」を装って送られており、少なくとも以下の国々が被害にあったとみられています。

米国、中国、英国、カナダ、ドイツ、ロシア、韓国、アルゼンチン、シンガポール、日本など

引用元：https://labs.f-secure.com/assets/BlogFiles/f-secureLABS-tlp-white-lazarus-threat-intel-report.pdf

今回の攻撃に用いられた手法は、昨年7月に、JPCERT/CCが公開した分析記事でも紹介されており、分析した検体の類似検体の多くのデコイ文書に、仮想通貨に関する内容が記載されており、「仮想通貨に関連する組織へ送信された」と言及していました。

blogs.jpcert.or.jp

F-Secureは、GDPRで保護されたと称する文書ファイルを確認しており、保護を解くためにマクロを有効にするよう促し、不正なリンクへとつながる短縮リンクへの接続、そして、C2サーバへのリダイレクトを試みていると述べています。

当該文書ファイルのサンプルは以下です。

引用元：https://labs.f-secure.com/assets/BlogFiles/f-secureLABS-tlp-white-lazarus-threat-intel-report.pdf

また、攻撃の流れについて、以下の図にて示しています。

引用元：https://labs.f-secure.com/assets/BlogFiles/f-secureLABS-tlp-white-lazarus-threat-intel-report.pdf

F-Secureの分析結果によると、最終的に取得される検体(資料ではMAIN IMPLANTSで紹介されている検体)を被害端末に感染させることで、攻撃者は被害端末から情報を盗み出していると考えられます。

世界中の銀行を標的にした攻撃

先述の通り、米国のCISA、財務省、FBIにより、注意喚起が発行された、世界中の銀行への標的型攻撃ですが、FASTCash 2.0と名付けられています。

関連するマルウェアの分析レポートも別途公開されているので、検体の挙動等は以下をご参照ください。

• ECCENTRICBANDWAGON
  • https://us-cert.cisa.gov/ncas/analysis-reports/ar20-239a
• VIVACIOUSGIFT
  • https://us-cert.cisa.gov/ncas/analysis-reports/ar20-239b
• FASTCASH for Windows
  • https://us-cert.cisa.gov/ncas/analysis-reports/ar20-239c

今回の活動は、RATを介して、銀行を強盗することに特化したハッキングチームによって行われており、米国政府はこのチームをBeagleBoyzと呼んでいます。

なお、BeagleBoyzは攻撃の手法や他の北朝鮮系ハッキンググループとの関連から、Lazarusの派生組織だと考えられています。

米国政府がFASTCash 2.0と名付けるこの活動については、2018年にアフリカやチリに対して行われたFASTCash事件の再来だと考えられます。

そのため、以前のFASTCashと合わせて、これまでに標的となった国々として以下の図の通り示しています。

図からもわかる通り、日本もその一部に含まれています。

また、攻撃の流れとして、以下のような図を公開しています。

まず、スピアフィッシングなどを起点に標的の金融機関への侵入を試み、金融機関の企業ネットワークに侵入。

その後、様々な手法を悪用し、組織内への横展開や権限奪取、永続的な潜入や検知回避を行います。

そして、注目すべきなのが、CISAの注意喚起中に、「従来の金融機関への強盗に加え、暗号通貨取引所を標的とした攻撃」と述べている点です。

おそらくですが、先述のF-Secureの記事とも関連があるのではないかと推測できます。

まとめ

今回は、LazarusおよびBeagleBoyzによる攻撃活動について、まとめてみました。

北朝鮮のサイバー攻撃に関して、最近、気になるトピックが多いですね。

朝鮮系ということで、北朝鮮だと断言はできないものの、DarkHotelに関しても気になる動きがみられますし。

micro-keyword.hatenablog.com

サイバー攻撃については、よく攻撃者優位なんてことが言われますが、まさにそのあたりを表しているような活動な気がしますね。

特に地理的に近い国なわけですし、引き続き、目が離せないなーというのが個人の感想です。