新たなWebスキミング攻撃で、Magento、WooCommerce、WordPress、Shopifyが悪用される

Yoshida

2023.06.05

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年6月5日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

Magento、WooCommerce、WordPress、およびShopifyがWebスキミング攻撃で悪用される

The Hacker News – Jun 05 2023 06:29

Magecartスタイルの新たな進行中のWebスキマーキャンペーンをAkamaiの研究者が発見・分析し、結果をまとめたレポートを公開した。これによれば、このキャンペーンはPII（個人を識別できる情報）やクレジットカードデータをEコマースサイトから盗み出すためのものなのだという。

このキャンペーンでは、正規の脆弱なサイトが侵害されてWebスキマーコードをホストするために使われ、このスキマーによってEコマースサイトへと悪意あるコードが配布されて情報が盗み出される。つまり、マルウェアの「配布センター」かつ「その場しのぎの」C2サーバーとして使われるWebサイトと、スキマーのターゲットとなるEコマースサイト、2通りの被害者が存在することになる。この点において、今回のキャンペーンは他のMagecartキャンペーンとは一線を画している。

攻撃者自身のC2サーバーの代わりに、ハイジャックした正規サイトをC2として使うことにより、攻撃者は当該サイトの高い評判や正規ドメインを利用できるので、被害者となるEコマースサイトに気付かれることなくマルウェアを配布しやすくなる。

またこの攻撃キャンペーンではMagento、WooCommerce、WordPress、Shopifyが悪用されており、Eコマースプラットフォームにおける多様な脆弱性が増加していることや、悪用可能なプラットフォームが増えていることが示されている。

このほか、Akamaiのレポートでは手法や被害者、スキマーなどの詳細やIOCが記載されている：New Magecart-Style Campaign Abusing Legitimate Websites to Attack Others

新たな配布ベクターを用いたTrueBotの活動の不穏な急増が明らかに

The Hacker News – Jun 05 2023 04:31

VMwareの研究者らが、2023年5月にTrueBotの活動の急増が観測されたことを明らかにした。TrueBotは2017年から存在するダウンローダー型トロイの木馬ボットネットで、侵害されたシステム上の情報をC2サーバーを使って収集したり、侵害されたシステムをさらなる攻撃に向けての始点として使用したりする。

VMwareが報告したTrueBotの攻撃チェーンは、ドライブバイダウンロード攻撃によってGoogle Chromeから実行ファイル「update.exe」をダウンロードさせるところから始まる。update.exeは起動後、ロシアにある既知のTrueBotのIPアドレスとの接続を確立し、第2段階の実行ファイル（3ujwy2rz7v.exe）を呼び出す。その後3ujwy2rz7v.exeがWindows Command Promptを使って起動し、C2ドメインへの接続とホストからの機微情報の抜き取りを行うという。

なお、TrueBotは「Silence」として知られるグループとの関連が指摘されているが、Silenceはロシアのサイバー犯罪アクター「Evil Corp」とつながっていると考えられている。

2023年6月5日

ハイライト

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。