Protect Against Russia-Ukraine Cyber Activity

クラウドビデオ配信のサプライチェーン攻撃により不動産サイトを狙う新たなWebスキマーキャンペーンを発見

By , and

Category: Malware, Unit 42

Tags: , ,

A conceptual image representing malicious code, such as the web skimmer malicious JavaScript code injected into video as described here.

This post is also available in: English (英語)

概要

サプライチェーンのネットワークは、頻繁にサイバー犯罪の標的にされています。その理由は、サプライチェーン内の「弱いリンク」をコントロールすることで、より多くの被害者にアクセスできるようになるからです。とくにその弱いリンクがサプライチェーンをソースとしていればさらに効果的です。最近私たちは、クラウドビデオプラットフォームを利用して「スキマー(別名フォームジャッキング)」キャンペーンを展開するサプライチェーン攻撃を確認しました。スキマー攻撃では、サイバー犯罪者が悪意のあるJavaScriptコードを挿入してWebサイトをハッキングし、そのサイトのHTMLフォームページの機能を乗っ取って、ユーザーの機微情報を収集します。今回の攻撃の場合、攻撃者はビデオにスキマー用JavaScriptコードを挿入しているため、他の人がビデオを取り込むと、その人のWebサイトにもスキマーコードが埋め込まれてしまいます。

パロアルトネットワークスのプロアクティブな監視・検知サービスは、同一のスキマー攻撃で侵害された100件以上の不動産サイトを検出しました。スキマー攻撃は、以前のブログ「詳説 フォームジャッキング攻撃 処理の流れとテクニック」と「Webスキマーに関する詳細な考察」の公開以降、攻撃者の間で人気が高まっています。特定したサイトを分析した結果、すべての侵害サイトが1つの親会社に属していることがわかりました。これらの侵害サイトはすべて、あるクラウドビデオプラットフォームから同一ビデオ(悪意のあるスクリプトを含む)を取り込んでいました。

弊社は当該クラウドビデオプラットフォームと不動産会社と協力して、ビデオの公開前にマルウェアを除去する支援をしました。本稿は、サプライチェーン攻撃により、知らぬ間に正規Webサイトが感染してしまう可能性があることを、組織やWebユーザーの皆さんに警告することを目的としています。以下、スキマー攻撃の展開方法、被害者の機微情報を窃取する方法を順を追って説明します。

パロアルトネットワークスのお客様は、次世代ファイアウォールWildFireURL Filteringサブスクリプションサービスによりこの種の攻撃から保護されています。

本稿で扱う攻撃の種別と脆弱性の種別 Skimmer attacks, formjacking
Unit 42 の関連タグ Information stealing

目次

スキマー検出
スキマーコード解析
ビデオに含まれる悪意のあるコード
結論
IoC

スキマー検出

私たちは、自社のプロアクティブな監視・検知サービスを使い、今回取り上げたスキマー攻撃によって侵害されたWebサイトを捕捉しました。捕捉されたWebサイトは以下のIoC(Indicator of compromise、侵害指標)セクションに記載します。

ここではあるWebサイトを例にとります(図1参照)。このフォームは、訪問者が売家に関する詳細情報を要求するためのもので、ユーザーの個人情報の提供を求めるフィールドが含まれています。

このフォームは、訪問者が売家に関する詳細情報を要求するためのもので、ユーザーの個人情報の提供を求めるフィールドが含まれています。
図1 潜在的被害者の機微情報を聞き出す

このページにアクセスすると弊社の検知サービスがiframeのURLにあるスキマー攻撃を検知します。

図1に示したページにアクセスすると弊社の検知サービスがiframeのURLにあるスキマー攻撃を検知します。
図2 このHTMLページには悪意のあるコードが存在している

スキマーコード解析

このスキマーがどのように動作するかを理解するため、サンプルコードを深く掘り下げてみましょう。まずは侵害サイトから抽出したJavaScriptのコードを見てみます。

高度に難読化されているため、このコードからはこの攻撃が何をしようとしているのかがほとんどわかりません。これを整形して4つのパートに分け、理解しやすくします。

スキマーコード パート1

パート1のコードは、文字列の配列 u の復号に使用されるもので、復号関数は l です。

復号すると、以下の平文の配列を得られます。たとえば l(0x1)は文字列「test」です。

スキマーコード パート2

パート2では関数を3つ定義しています。

  1. 関数cは、文字列を正規表現パターンで置き換えるために使用されます。
  2. 関数dは、文字列がクレジットカードのパターンに一致するかどうかを検証するために使用されます。これは4つの正規表現パターンを使用していることがわかります。
  3. 関数fは、クレジットカードの番号をLuhnアルゴリズムで検証するために使用されます。

スキマーコード パート3

パート3は、アンチデバッグコードです。復号すると以下のようになります。

基本的には、window.Firebugwindow.Firebug.chromewindow.Firebug.chrome.isInitializedの各変数が存在するかどうかをチェックします。また、devtoolschangeメッセージを送信し、Chromeコンソールが開かれているかどうかをチェックします。

スキマーコード パート4

復号後のコードサンプルは非常にわかりやすいものです。これらのコードスニペットが何をするのか見てみましょう。

以下のコードは、クレジットカードコンテンツの暗号化に使用されるhashCode関数を定義しています。

コード解析

以下のコードでは、変数Gateと変数Dataを定義しています。変数Dataにはクレジットカード情報が、変数GateにはC2サーバーが保存されています。

以下のコードサンプルからはスキマーがどのようにクレジットカード情報を窃取・送信しているかが明らかになります。ここではそのプロセスを以下のステップに分けました。

1. まず onreadystatechangeを使って、ページの読み込みが完了したかどうかを確認します。その後、TrySend関数を呼び出します。

2. TrySend関数は、SaveAllFields関数を呼び出して、HTMLドキュメントから名前やメールアドレスなどの顧客による入力情報を読み取り、SaveParamを呼び出して、そのデータが有効かどうかをチェックします。有効であれば、この情報をData変数に保存します。

3. 次にTrySend関数はSendData関数を呼び出してデータを送信します。SendData関数はLoadImage関数を呼び出して<img>HTMLタグを作成し、この画像のsrcとしてC2のURLを設定します。

ビデオに含まれる悪意のあるコード

次は、攻撃者がどのような方法でクラウドビデオプラットフォームのプレイヤーに悪意のあるコードを挿入するのかを見てみます。このクラウドプラットフォームでは、JavaScriptファイルをアップロードすることにより、ユーザーがカスタマイズしたプレイヤーを作成できるようにしています。このケースの場合、ユーザーが、上流で悪意のあるコンテンツを含められるようなスクリプトをアップロードしていました。

私たちは、ホストされている場所にある静的なスクリプトをこの攻撃者が変更してスキマーコードを添付したと推測しています。その次のプレイヤー更新時に、このビデオプラットフォームは、侵害されたファイルを再び取り込み、影響を受けたプレイヤーとともに提供しました。

コード解析から、スキマー用のスニペットは、被害者の氏名、電子メール、電話番号などの機微情報を収集し、VirusTotalでも悪意があるとマークされている収集サーバー(https://cdn-imgcloud[.]com/img)に送信しようとしていることがわかります。

今回取り上げたWebスキマーが被害者から収集した機微情報を送信する収集サーバーをVirusTotalが判定した結果
図3 機微情報の収集サーバーをVirusTotalが判定した結果

結論

今回のスキマーキャンペーンでは、悪意あるアクティビティを、スキマースクリプトからソースであるクラウドビデオプラットフォームまで追跡しました。またスキマーキャンペーンで収集したコードスニペットについても深く掘り下げました。

スキマーは非常に変化が早く、捕捉が難しく、絶えず進化しています。クラウド配信プラットフォームと組み合わせれば、この種のスキマーによる影響は甚大です。そのため今回のような攻撃は、「巧妙な戦略を解き明かして根本原因を突き止めることができるか」という難しい挑戦をセキュリティリサーチャーに突きつけることになります。スキマーが使用するドメイン名やURLをブロックするだけでは効果がないことから、この種のスキマーキャンペーンの検知にはより洗練された戦略立案が必要です。

Webサイトの管理者には、あらゆるアカウントの保護、フィッシングやソーシャルエンジニアリングによる窃取の防止、パーミッションの適切な管理が望まれます。またWebコンテンツの整合性チェックを定期的に行うことも強く推奨されます。これにより、Webサイトコンテンツへの悪意のあるコード挿入を検知・防止できます。

パロアルトネットワークスのお客様は、次世代ファイアウォールのWildFireおよびURL Filteringサブスクリプションサービスにより、スキマー(別名フォームジャッキング)攻撃から保護されます。

IoC

本稿で取り上げたWebスキマー攻撃のIoCは、こちらのGitHubで確認できます。