Linux マルウェアの浸透:Web スキマーとバックドアで e-Commerce が狙われる

Hackers deploy Linux malware, web skimmer on e-commerce servers

2021/11/18 BleepingComputer — セキュリティ研究者たちは、オンラインシ・ョップの Web サイトにクレジットカード・スキマーを注入した攻撃者が、侵害した電子商取引サーバーに Linux バックドアを展開していることを発見した。PHP でコーディングされた、この Web スキマー (顧客の決済情報/個人情報を盗むスクリプト) は、/app/design/frontend/ フォルダ内に .JPG 画像ファイルとして追加され、カモフラージュされている。

このスクリプトを使用する攻撃者は、偽の決済フォームをダウンロードし、ハッキングしたオンライン・ショップが表示するチェックアウト・ページに注入する。

Sansec Threat Research Team は、「攻撃者は、自動化された Eコマース調査を行うが、一般的なオンライン・ショップのプラットフォームに存在する、数十件の弱点をテストしていたことが分かった。そして、攻撃者は1日半をかけて、そのストアのプラグインの1つにファイル・アップロードの脆弱性を発見した。続いて、Web シェルをアップロードし、サーバーのコードを変更して顧客データを傍受した」と説明している

セキュリティ・ソフトでは検出されない Linux マルウェア

オランダのサイバーセキュリティ企業である Sansec は、linux_avp 実行ファイルである Golang ベースのマルウェアが、侵入済のサーバーにダウンロードされ、実行されることを発見した。このファイルは、マルウェア起動すると直ちにディスクから削除され、実行中のプロセスの一覧を取得するための、ps -ef プロセスとしてカモフラージュされる。

この linux_avp バックドアを分析したところ、Alibaba のネットワーク上に存在する北京のサーバーからの、コマンドを待っていることが判明した。また、このマルウェアは、検出/削除された場合であっても、サーバー再起動の際などに、Command and Control サーバーから悪意のペイロードを再ダウンロードし、バックドアを再インストールする crontab エントリを新たに追加することで、持続性を獲得していることが発見されている。

このバックドアは、1ヶ月以上前の10月8日に最初のサンプルがアップロードされているが、VirusTotal のアンチマルウェア・エンジンでは検出されていない。Sansec の研究者たちは、Eコマース・サイトへの侵入を調査していた際に、このバックドアを発見したが、その翌日にはアップロードされていたという。そのことから、アップロードしたのは linux_avp の作成者である可能性が高いという。

10月29日に、「Hive ランサムウェアによる暗号化:Linux と FreeBSD がターゲットに追加」という記事をアップしていますが、2つの記事を比較すると、別の脅威アクターだろうと思えてきます。また、最近の小売業におけるサイバー攻撃に関しては、11月8日の「欧州最大の家電量販店 MediaMarkt が Hive ランサムウェアに攻撃されている」と、11月12日の「Costco でクレジットカード・スキミングが発生:2月以降の決済で被害が続出」が目立ちます。

%d bloggers like this: