Silent Skimmer の復活:支払決済組織をターゲットにする持続性の高い手口とは?

Silent Skimmer Reemerges: New Tactics Target Payment Gateways

2024/11/10 SecurityOnline — Unit 42 の研究者が検出したのは、悪名高い金銭目的の脅威アクター Silent Skimmer による、新たな活動の足跡である。このサイバー犯罪者グループは、2023年に初めて特定されたが、その後は影に隠れたように見えた。しかし 2024年5月に、多国籍組織の決済インフラに対する、北米を拠点とする標的型攻撃で再浮上し、侵害したサーバから決済データを収集するという、新たな手法が明らかにされた。

Unit 42 によると、攻撃者は Telerik UI の脆弱性を悪用し、決済組織のサーバに対する最初の足掛かりを確立した後に、脆弱性 CVE-2017-11317/CVE-2019-18935 を悪用していたことが注目される。これらの脆弱性は、CISA 既知の悪用脆弱性カタログ KEV に記載されており、脆弱なバージョンの Telerik UI において、リモート・コード実行を可能にするというものだ。Silent Skimmer のオペレーターは、侵入後に環境を詳細に把握し、永続性を確立するために、いくつかの偵察コマンドを実行した。

最初の防御を突破した後に Silent Skimmer は、侵害したシステムに対する制御を維持するために、さまざまな戦術を実行している。この脅威アクターは、継続的なアクセスを可能にするために、複数の Web シェルをディレクトリにドロップした。

研究者たちは、「攻撃者は主に “C:\Users\Public\Music\” や “C:\WebRoot\Health”、 “Checks\Default” などのディレクトリに、複数の Web シェルをアップロードし、システム内に永続的なアクセス・ポイントを埋め込んだ。その後に攻撃者は、PowerShell リバース・シェルや、Fuso/FRP などのトンネリング・ツールを導入し、ファイアウォールの背後に隠れていても、侵害したサーバを介してリモート・アクセスできるようにした」と述べている。

Unit 42 は、「Silent Skimmer は検出を回避するために、ネイティブ C++ コードを .NET バイナリ内に埋め込むという、混合モード・アセンブリと呼ばれる複雑な手法を採用した。この脅威アクターが、混合モードアセンブリを活用したことで、標準的な分析ツールによる悪意のペイロード検出が困難になった。これらの .NET 分析ツールでは、バイナリ内のアンマネージ・コードを分析できないことが多い」と指摘している。

さらに、Silent Skimmer はコンパイルされた Python スクリプトを使用して、支払いデータベースにダイレクトにアクセスしたことが確認されている。これらのスクリプトを使用することで攻撃者は、ハードコードされた認証情報を用いてデータベースにログインし、支払い情報を CSV ファイルにエクスポートして、盗み出すことに成功した。この手口は、同グループの以前の方法からの変化を示している。以前の方法とは、支払いページに対して、ダイレクトに悪意のあるコードを挿入し、データをスキームするという方法だった。

Python script for executable

その一方で Unit 42 は、このインシデントと、以前のキャンペーンの戦術の間に、重複する部分があることを指摘している。この研究チームは、「調査で観察した TTP の、かなりの部分が、公開されている Web サーバの悪用という、最初のアクセス・ベクターから始まる、BlackBerry ブログで説明されているものと一致する」と指摘している。そして、このグループが、Telerik の脆弱性とリバースシェルを一貫して使用していることを強調している。さらに、Silent Skimmer は、GodPotato を利用して権限を昇格させ、侵害したシステム内で、さらに深化したアクセスを可能にしていた。

Unit 42 は、「この持続性が浮き彫りにするのは、この永続的な脅威から身を守るために警戒し、脆弱性を迅速に修正する、必要性があることだ。Silent Skimmer の最新の戦術は、保護されていないシステムに、深刻なリスクをもたらすものだ」と結論付けている。

Silent Skimmer という脅威アクターですが、このブログでは初登場となります。Progress Telerik の古い脆弱性 CVE-2017-11317/CVE-2019-18935 を悪用して、継続的に侵害を成功させているようです。ご利用のチームは、ご注意ください。よろしければ、Telerik で検索も、ご利用ください。