東アジアの Web サイトへの攻撃：脆弱な FTP 認証情報が悪用されている

Thousands of Websites Hijacked Using Compromised FTP Credentials

2023/03/03 SecurityWeek — クラウド・セキュリティ企業である Wiz の警告は、正規の FTP 認証情報を介して侵害されるリダイレクト・キャンペーンが、東アジアのユーザーをターゲットとする数千の Web サイトへ向けて広がっているというものだ。多くのケースにおいて攻撃者は、自動生成され安全性の高い FTP 認証情報を入手し、それを用いて被害者の Web サイトを乗っ取り、訪問者をアダルトテーマのコンテンツにリダイレクトしている。

このキャンペーンは、2022年9月以降から継続しており、少なくとも 10,000以上の Web サイトが危険にさらされている (多くは小規模企業で一部は大企業) 。ホスティング・プロバイダーの違いや、技術スタックの差異があるため、共通の侵入経路を特定することは困難だと Wiz は述べている。

Wiz が確認したインシデントの一部は、侵害した Web ページに、リモートでホストされている JavaScript 参照する script タグの形で、１行の HTML コードを追加するというものだ。このタグにより、Web サイト訪問者のマシン上に JavaScript スクリプトがダウンロードされ、実行されるという結果にいたる。

場合によっては、FTP アクセスを経由して、侵害したサーバ上の既存ファイルに、ダイレクトに JavaScript コードが注入される可能性もあり、単純なマルバタイジングの可能性は除外されると Wiz は述べている。

Wiz は、「このキャンペーンに関連する多数のサーバを特定した。これらのサーバは、多くの類似性を示す JavaScript のバリエーションを提供しており、同じ活動の一部ではないにしても、緊密にリンクしていることが示唆される」と述べている。

この JavaScript のリダイレクト・コードは、ディスティネーションである Web サイトへと訪問者をリダイレクトする前に、被害者のマシンに設定されたクッキーの値や、クローラーであるかどうかの判定、Android であるかどうかの判定といった、特定の条件をチェックする。

当初は、ブラウザのフィンガープリントを、JavaScript コードにより作成し、収集した情報を C2 インフラに送信する様子も確認されていたが、2022年12月以降においては、この動作は発生していない。ただし、2023年2月にリダイレクト・チェーンに中間サーバが追加されるなど、リダイレクト・スクリプトの変化も、Wiz は観察している。また、Web サイトの管理者が悪意のリダイレクトを削除した直後にも、それが再表示されるケースがあったという。

Wiz によると、このキャンペーンの目的として、広告詐欺や SEO 操作の可能性があるが、ディスティネーション Web サイトへのトラフィックを増やすことが目的だった可能性もある。しかし、この脅威アクターには、入手したアクセスを悪用して、他の悪質な活動を行う可能性もある。

Wiz は、「影響を受けたサーバ間において、FTP を使用していること以外に、注目すべき重要な共通点は確認されていない。この脅威者が、これほど多くの Web サイトへの初期アクセスを、どのように獲得しているかについては、依然として不明である。今回の攻撃の洗練度が明らかに低いことから、ゼロデイ脆弱性が悪用されている可能性は考えにくい。ただし、その可能性を否定することもできない」と結論付けている。

脆弱な FTP 認証情報が悪用されているとのことですが、このインシデントの背後にいるのは、未知の行為アクターとのことです。東アジアの Web サイトが標的なので、ちょっと薄気味悪いですね。2023/03/02 には、「Hatch Bank のデータ侵害：GoAnywhere MFT のゼロデイ脆弱性が悪用された」という記事をアップしていますが、この GoAntwahre インシデントも、FTP に絡むものなのかもしれません。