Nginx に潜む NginRAT:Linux サブシステムを狙う CronRAT とタッグで攻めてくる

New Payment Data Stealing Malware Hides in Nginx Process on Linux Servers

2021/12/03 TheHackerNews — 米国/ドイツ/フランスの eコマース・プラットフォームが、Nginx サーバーを標的とした新種のマルウェアの攻撃を受けている。このマルウェアは、自分の存在を偽装し、セキュリティ・ソリューションによる検出をすり抜けようとする。Sansec の Threat Research チームは「この新種のコードは、ホストの Nginx アプリケーションに自身を注入し、ほとんど目立たないようにする。この寄生コードは、eコマース・サーバーからデータを盗むために使用され、server-side Magecart とも呼ばれている」と述べている。

フリーのオープンソース・ソフトウェアである Nginx は、リバース・プロキシ/ロード・バランサー/メール・プロキシ/HTTP キャッシュとしても利用可能な、Web サーバーである。また、高度なマルウェアの名称である NginRAT は、ホストの Nginx アプリケーションをハイジャックして、Web サーバーのプロセスに自分自身を埋め込むことで動作する。

このリモートアクセスのトロイの木馬は、先週にオランダのサイバー・セキュリティ企業が公開した、別のマルウェアである CronRAT を介して配信される。CronRAT は、実在しない暦の日である 2月31日に実行される、cron ジョブ内に悪意のペイロードを隠し持つ。

CronRAT と NginRAT は、いずれも、感染したサーバーにリモートから侵入できるように設計されており、侵入の目的は、感染した電子商取引サイトのサーバー側を変更して、オンライン決済フォームをスキミングしてデータを流出させることにある。

この、Magecart または Web skimming と総称される攻撃は、ソフトウェアの脆弱性を利用してオンライン・ポータルのソースコードにアクセスし、悪意の JavaScript コードを挿入することで、買い物客がチェックアウト・ページに入力したデータを盗み出す。つまり、クレジット・カードの窃取に関与する、数十のサブ・グループで構成されるサイバー犯罪シンジケートの仕業である。

Zscaler の研究者たちは、今年の初めに発表した Magecart の最新動向の分析で、「スキマー・グループは急速に成長しており、検知されないたまの様々な方法を用いて、多様な eコマース・プラットフォームを狙っている」と指摘している。

研究者たちは、「最新の手法には、eコマース・プラットフォームの脆弱なバージョンの侵害、および、CDN やクラウド・サービス上でのスキマー・スクリプトのホスティングなどがある。また、悪意のスキマー・スクリプトをホスティングするために、正規の Web サービスや特定の eコマース・ストアと間違えやすい、Newly Registered Domains (NRDs) も使用する」と述べている。

11月25日に「Linux CronRAT という強敵:2月31日に設定されたタスクで Magecart 攻撃を実行」という記事をポストしています。そこには、「CronRAT の最大の特徴は、Linux サーバーのカレンダー・サブシステム Cron の中の、存在しない日に隠れていることだ。こうすることで、サーバー管理者の注意を逸らすことができる。また、多くのセキュリティ製品は、Linux の Cron システムをスキャンしていない」と記されていました。Nginx は、さまざまな局面で使われている Web サーバーだけに、とても心配です。

%d bloggers like this: