AhnLab Security Emergency response Center (ASEC)では、韓国国内のホームページ制作業者が制作したホームページをターゲットに攻撃を行い、マルウェアの配布にこれを利用している状況を確認した。特定のホームページ制作業者とは、製造、貿易、電気、電子、教育、建設、医療、旅行等の幅広い分野の会社を対象にホームページを制作している業者である。
侵害されたホームページはマルウェアの配布に利用され、Web シェルによって窃取した情報を転送する等の機能を実行する。この攻撃方式の一番最初の配布は ASEC ブログを通じて掲載した内容の通り、電子メールの添付ファイルで行われたことが確認されている。感染したシステムのタスクスケジューラーに登録されることで、持続的に侵害が行われる。
[図1] タスクスケジューラー登録スクリプト
感染した場合、タスクスケジューラーに登録されたコマンドのように、正常なプロセスである mshta を通じて Web シェルで接続し、攻撃者はこれを利用して被害者 PC を遠隔操作するという方式である。遠隔操作のための Web シェルのアドレスも、事前に侵入した正常なホームページのアドレスを使用しており、被害者は感染した事実を認知しにくくなっている。このような攻撃方式に使用されたドメインは、すべて上述した韓国国内の特定のホームページ制作業者が制作したものと確認されており、すべて外部からアクセスが可能な admin ページが同じ経路に存在していた。攻撃者は、このページを利用して不正なファイルをアップロードしたものと推定される。
過去にも、企業/機関のホームページに追加された広告バナー内部のスクリプトを通じてマルウェアが配布された事例があった。企業/機関のホームページに比べてセキュリティに脆弱な広告業者を攻撃してマルウェアの配布を試みた事例である。今回確認された内容はセキュリティに脆弱なホームページ制作業者をターゲットに攻撃を実行したものであり、RedEyes、APT37 攻撃グループによるターゲット型攻撃が、ホームページ制作業者が制作した多数のホームページに悪用される恐れがあることが確認された。セキュリティに脆弱な制作業者を通じて作られたホームページは、潜在的にマルウェアへの感染にさらされる危険性があるため、これらの業者を対象としたセキュリティ性の強化、および内部システムのメンテナンスが要求される。
[ビヘイビア検知]
- Connection/MDP.Event.M4612
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報