事例Use case

【Bitdefender海外ブログ】新たなルーターDNS乗っ取り、Bitbucketで情報窃盗マルウェアをホスト

2020.4. 1

ツイート シェア 送る はてブ

AdobeStock_89071015.jpeg
Bitdefenderの研究者は先日、ホームルーターを標的とする新たな攻撃を発見しました。この攻撃は、ホームルーターのDNS設定を変更し、最終ペイロードとして、情報窃盗マルウェア「Oski Infostealer」を送り込むウェブサイトに被害者をリダイレクトします。

この攻撃で興味深い点は、一般的に普及しているウェブベースのバージョン管理レポジトリホスティングサービス「Bitbucket」を使って、不正なペイロードを保管していることにあります。また、被害者に不正行為を疑わせないため、一般的なウェブベースのURL短縮サービス「TinyURL」を使い、Bitbucketに保管されるペイロードへのリンクを隠しています。

案の定、ユーザーがリダイレクトされるウェブページには、新型コロナウイルス感染症パンデミックに関する内容が掲載されており「新型コロナウイルス(COVID-19)に関する最新情報や案内」を提供するアプリケーションをダウンロードできるようになっています。

COVID-19は、サイバー犯罪者が被害者を陥れるために繰り返し使用しているテーマです。新型コロナウイルス感染症に関する偽の情報医療用品不足の不安を利用したフィッシング攻撃者の登場で、2月から3月にかけて新型コロナウイルス感染症の話題を利用したマルウェアが関わる悪意ある記事の数が5倍も増加しました。

主な所見:
• 主に、Linksys製ルーターを標的として、リモート管理の認証情報に対するブルートフォース攻撃を行う
• ルーターを乗っ取り、そのDNSのIPアドレスを変更する
• 特定のウェブページ/ドメインを新型コロナウイルス感染症について記載された悪意のあるウェブページにリダイレクトする
• Bitbucketにマルウェアサンプルを保存している
• TinyURLを使ってBitbucketへのリンクを隠している
• 情報窃盗マルウェア「Oski Infostealer」をドロップする

攻撃の仕組み

ハッカーが今回のパンデミックのような世界的ニュースに便乗し、不正ファイルを添付したフィッシングメールを配信することは珍しいことではありませんが、今回確認された攻撃から、ハッカーは、この上なくクリエイティブな方法で不正に侵入していることが証明されました。

攻撃者は、インターネット上で脆弱なルーターを探し回り、何らかの方法でそうしたルーターを侵害し(パスワードの総当たり攻撃の可能性あり)、ルーターのDNSのIP設定を変更しているようです。

DNSの設定は、電話帳のような役割を持つ非常に重要な部分です。ユーザーがウェブサイト名を入力すると、DNSサービスがそのドメイン名のIPアドレス先へユーザーを移動します。つまり、お使いのスマートフォンと同じように機能します。誰かに電話をかける時、名前を検索するだけで相手の電話番号は覚える必要はないのと同様に、DNSのIPアドレスを変更した攻撃者は、あらゆるリクエストを解決し、誰にも気づかれることなく、自身が管理するウェブページにユーザーをリダイレクトすることができます。

そのIPアドレスがこちらです。
• 109.234.35.230
• 94.103.82.249

こちらは、リダイレクトの標的とされているドメインの一覧(一部のみ)です。
• "aws.amazon.com"
• "goo.gl"
• "bit.ly"
• "washington.edu"
• "imageshack.us"
• "ufl.edu"
• "disney.com"
• "cox.net"
• "xhamster.com"
• "pubads.g.doubleclick.net"
• "tidd.ly"
• "redditblog.com"
• "fiddler2.com"
• "winimage.com"

ユーザーが上記のドメインに移動しようとすると、176.113.81.159、193.178.169.148、 95.216.164.181というIPアドレス先にリダイレクトされます。このページには、世界保健機関(WHO)からとされる、COVID-19に関する案内と情報を提供するアプリケーションのダウンロードとインストールを促すメッセージが表示されています。

興味深いことに、ルーターのDNS設定を変更することでユーザーは別のIPアドレス先に送られますが、正規のウェブページに移動したと信じてしまいます。たとえば、「example.com」と入力した場合、正規のIPアドレスのウェブページではなく、不正なDNS設定によって解決された、攻撃者が管理するIPアドレスのウェブページに移動します。攻撃者のウェブページが完璧に複写されたものであれば、被害者はブラウザのアドレスバーに表示されるドメイン名から、正規のウェブページに移動したと信じてしまいます。

以下のスクリーンショットからご確認いただけるように、被害者が上記にリストされる標的ドメインのいずれかに移動すると、攻撃者は単純に正規のドメインを装いメッセージを表示します。ブラウザのアドレスバーに表示されるドメイン名に変更はないため、被害者は、まさか表示されているメッセージが、攻撃者が管理するIPアドレスのウェブページのものとは思いません。

DNS_1_200401.pngダウンロードボタンには、https://google.com/chromeへの「href」タグ(ハイパーリンク)が設定されているため、ボタン上をホバリングしても問題は見当たりません。ところが、実際には、TinyURLで短縮されたURLに、URLを不正URLに変える「onclick」(クリック時の処理)イベントの設定が隠されています。

code1_200401.png
ユーザーが「ダウンロード」ボタンをクリックすると、まったく知らないところで、Bitbucketレポジトリから不正な.exeファイルがダウンロードされます。

bitbucket-1024x645_200401.png
攻撃者は、正規のファイルを装うため(名前で正当性を示すかのように)、このファイルに「runset.EXE」、「covid19informer.exe」、「setup_who.exe」などの名前を付けています。

攻撃フローから判断するに、最初のペイロードはダウンローダーだと思われます。これに関して、Bitdefenderは2つの亜種を確認しています。
• TinyURLサービスを使ってBitbucketレポジトリから最終ペイロードをダウンロードする.netファイルが組み込まれたcabファイル
• Bitbucketレポジトリから直接、最終ペイロードをダウンロードするautohotkeyスクリプト

diagram2_200401.PNG

攻撃の最終段階に、MPRESSを含む不正ファイルがダウンロードされます。このペイロードが情報窃盗マルウェア「Oski Infostealer」であり、C&Cサーバーと通信して盗んだ情報をアップロードします。

Oski Infostealerは、2019年下旬に登場したと思われる、比較的新しい情報窃盗マルウェアです。このマルウェアに含まれる一部の機能が、ブラウザ認証情報や仮想通貨ウォレットのパスワードを抽出するために解決を行います。さらに、このマルウェアの開発者は、各種ウェブブラウザやWindowsレジストリのSQLデータベースに保存される認証情報を抽出できることまで見せつけています。

また、攻撃の第一段階において、攻撃者が侵害されたIPアドレスや被害者数を追跡できる統計ページへのURL(hxxps://iplogger[.]org/1l8Gp)が.netファイルに設定されていることを確認しました。

被害者

現在も稼働している2つのBitbucketレポジトリからの累積ダウンロード数に基づき、予想される直近数日間に影響を受けた被害者の数は約1,193人です。

今回の調査中、Bitdefenderの調査員は、4つのBitbucketレポジトリを確認しています。つまり、Bitbucketによって既に2つのレポジトリは削除されているため、被害者数について完全な状況を把握することができません。そのため、実際の被害者数は予想を遥かに上回る可能性があります。

これが比較的新しい攻撃であることを示す別の指標として、Bitdefenderのデータによると、今回の攻撃は3月18日に始まり、3月23日に活動のピークを迎えています(図1)。

被害者数は、この先数週間でさらに増えると予想しています。特に、Bitbucketやそれ以外のレポジトリホスティングサービスも含め、攻撃者が他にもレポジトリをセットアップ済みであるとすれば尚更です。新型コロナウイルス感染症パンデミックは、今後も「ホットな話題」なのですから。

reports_200401.png恐らく、攻撃者はインターネット上で脆弱なルーターを使用している被害者を探索していますが、Bitdefender独自のデータによると、ドイツ、フランス、アメリカの被害者が全体の73%以上を占めています。これらの国は、新型コロナウイルス感染症が最も拡大している地域でもあるため、それが、不正ウェブサイトでこのトピックが利用されている理由かもしれません。

distribution_200401.pngルーターの侵害方法についてはまだ不明ですが、手元のデータから、攻撃者はオンラインに公開されているルーターの管理コンソールに直接アクセスするか、Linksysクラウドアカウントに総当たりすることで、Linksys製ルーターの一部モデルにブルートフォース攻撃を実行しているようです。

これらのLinksys製ルーター機能によって、ブラウザやモバイルデバイス経由で、ホームネットワーク外からアクセス可能なLinksysクラウドアカウントを使い、リモートでホームネットワークに接続することが可能となっています。標的とされているルーターの大多数が、この特定のメーカーに関係していると思われるため、これも攻撃者が利用している攻撃経路の1つであると考えられます。

lynksys_200401.png

身の安全を守る!


ルーターのコントロールパネルへのアクセス認証情報を変更する以外に(デフォルトの認証情報が使われていないことを願います)、Linksysクラウドアカウント認証情報や、ルーターのリモート管理アカウントを変更することで、ブルートフォース攻撃またはCredential-Stuffing攻撃(パスワードリスト型攻撃)による乗っ取りを防ぐことが推奨されます。

もちろん、ルーターのファームウェアを常に最新状態に保つことも高く推奨されます。これにより、攻撃者はパッチが適用されていない脆弱性を悪用し、デバイスを乗っ取ることができなくなります。

最後になりますが、間違いなく他の対策と同様に重要なこととして、お使いのすべてのデバイスに、フィッシングサイトや詐欺サイトへのアクセス、また、マルウェアのダウンロードやインストールを防げるセキュリティソリューションをインストールしてください。

侵害指標(IoC)


侵害の指標として、以下のダウンローダー、最終段階のペイロード、レポジトリへのURL、最終段階のペイロードのC&Cが関係しています。

diagram_200401.PNG注意:本記事は、Bitdefender Labsチームの厚意によって提供された技術情報に基づいています。

翻訳元記事 New Router DNS Hijacking Attacks Abuse Bitbucket to Host Infostealer