Cloud9 は Chrome ボットネット:リモート操作+多彩な機能で攻めてくる

Malicious extension lets attackers control Google Chrome remotely

2022/11/08 BleepingComputer — Cloud9 という新しい Chrome ブラウザ・ボットネットが、野放し状態で発見された。このボットネットは、悪意のエクステンションを使用して、オンライン・アカウントの窃盗/キーストロークの記録/広告や悪意の JS コードの注入/被害者のブラウザへの DDoS 攻撃などをしていたという。Cloud9 ブラウザ・ボットネットは、Google Chrome/Microsoft Edge を含む Chromium Web ブラウザ用のリモート・アクセス型トロイの木馬 (RAT:Remote Access Trojan) であり、脅威アクターによるリモート・コマンドの実行を可能にする。


この悪意の Chrome エクステンションは、公式の Chrome Web ストアでは提供されていない。その代わりに、偽の Adobe Flash Player のアップデートをプッシュする Web サイトなどの、代替チャネルを通じて流通している。

Malicious browser extension on Chrome
Chrome の悪意のブラウザ拡張機能 (Zimperium)


この方法はうまく機能しているようであり、Zimperium の研究者たちは、世界中のシステムで Cloud9 感染を確認したと、今日になって報告している。

ブラウザへの感染

Cloud9 は、悪意のブラウザ・エクステンションであり、Chromium ブラウザをバックドア化し、広範な能力により悪意のアクティビティを実行する。

このエクステンションは3つの JavaScript ファイルで構成されており、システム情報の収集/ホストのリソースを使用した暗号通貨のマイニング/DDoS 攻撃の実行/ブラウザ・エクスプロイトを実行するスクリプト注入などを可能にする。

Zimperium が発見したエクスプロイトのロードは、Firefox の脆弱性 CVE-2019-11708/CVE-2019-9810、Internet Explorer の脆弱性 CVE-2014-6332/CVE-2016-0189、Edge の脆弱性 CVE-2016-7200 などに対応するものだ。

これらの脆弱性の悪用に成功した攻撃者は、ホスト上に Windows マルウェアを自動的にインストール/実行することで、さらに深刻なシステム侵害を可能にしていく。

しかし Cloud9 は、Windows マルウェアのコンポーネントがなくても、侵害されたブラウザからクッキーを盗むことができる。それを利用する脅威アクターは、有効なユーザー・セッションを奪取し、アカウントを乗っ取ることができる。

The browser cookie stealer
ブラウザのクッキーを盗み出すマルウェア (Zimperium)

このマルウェアは、キーロガーも搭載しており、キーの押下を検知して、パスワードやなどの機密情報を盗み出せる。また clipper モジュールも備えており、コピーされたパスワードやクレジットカード情報を盗み取るために、システムのクリップボードを常に監視している。

Cloud9's clipper component
Cloud9 の clipper コンポーネント (Zimperium)

Cloud9 は、Web ページを密かに読み込むことで広告を挿入し、広告インプレッションを生成することで、オペレーターに収益をもたらすことも可能だ。このマルウェアは、ホストのパワーを悪用し、ターゲット・ドメインへの HTTP POST リクエストを通じて、Layer 7 の DDoS 攻撃を行うことも可能だ。

Zimperium は、「Layer 7 攻撃は、TCP 接続が正規のリクエストと非常に似ているため、検出が極めて困難になるのが常だ。Cloud9 の開発者は、このボットネットを使用して、DDOS を実行するサービスを提供していると思われる」とコメントしている。

オペレーターとターゲット

Cloud9 の背後にいるハッカーは、マルウェア・グループと関係があると考えられている。これは、最近のキャンペーンで使用された C2 ドメインが、Keksec の過去の攻撃に見られたものであるためだ。Keksec は、EnemyBot/Tsunamy/Gafgyt/DarkHTTP/DarkIRC/Necro などの、複数のボットネット・プロジェクトの開発と運営を担っているグループだ。

Cloud9 の被害は世界中に広がっており、また、脅威アクターがフォーラムに投稿したスクリーン・ショットを見ると、様々なブラウザをターゲットにしていることが分かる。

Screenshot of Cloud9 panel
Cloud9 のパネルのスクリーンショット (Zimperium)


また Zimperium は、Cloud9 がサイバー犯罪フォーラムで公に宣伝されていることから、Keksec が他の事業者に販売/レンタルしている可能性が高いと見ている。

Update 11/9 –  Google の広報担当者は、BleepingComputer に以下のコメントを寄せている。

ユーザーが最新のセキュリティ保護を確保するために、常に Google Chrome の最新バージョンに更新することを推奨する。また、Chrome の Privacy and Security > Security の設定で Enhanced Protection を有効にすると、悪意のある実行ファイル/Web サイトへの防御力が高まり、より安全に保護されるようになる。Enhanced Protection は、潜在的に危険なサイトやダウンロードについて自動的に警告を発し、ダウンロードしたファイルの安全性を検査して、危険なファイルの可能性がある場合に警告を発する。

なんというか、オールインワンのボットネットという感じですね。あらゆる悪意のアクティビティが詰め込まれているので、この RAT が見つかっても、どのような攻撃が仕掛けられるのか、見当もつきません。そして、文中の Enhanced Protection ですが、ディフォルトでは Standard Protection になっていたので、早速 ON にしてみました。使い勝手に不具合が生じないなら、使い続けようと思っています。Microsoft の VBA マクロ・ブロックとは、ちょっと性質が異なりますが、Google も同じ悩みを抱えているようです。

%d bloggers like this: