Datadogは12月13日(米国時間)、「Getting a taste of your own medicine: Threat actor MUT-1244 targets offensive actors, leaking hundreds of thousands of credentials| Datadog Security Labs」において、「MUT-1244」として追跡している脅威アクターが他の脅威アクターからWordPressの認証情報を窃取したと報じた。
-
Getting a taste of your own medicine: Threat actor MUT-1244 targets offensive actors, leaking hundreds of thousands of credentials| Datadog Security Labs
認証情報の横取り
Datadogによると、脅威アクター「MUT-1244」はGitHubに公開したWordPressの認証情報確認ツール「hpc20235/yawpp」を通じて、他の脅威アクターから認証情報を横取りしたという。このツールには認証情報を検証すると同時にDropboxに送信する機能があり、ツールを利用した脅威アクターから第三者の認証情報を窃取したとされる。
Datadogはツールを分析し、Dropboxのアクセストークンを取得。そして、Dropboxから39万件以上の認証情報を発見している。
この攻撃では追加のペイロードの配布も確認されている。ツールを使用した脅威アクターは、情報窃取およびバックドア機能を持つ暗号資産マイナーに感染したとされる。Datadogによると、MUT-1244は別のサイバー攻撃キャンペーンにおいても同じ暗号資産マイナーを配布したという。
マルウェア配布キャンペーン
MUT-1244によるマルウェア配布キャンペーンでは、セキュリティ研究者および企業のペネトレーションテスト担当者が標的となった。攻撃にはフィッシングメールと、偽の概念実証(PoC: Proof of Concept)コードを配布する2つの手法が使用された。
フィッシングメールを使用した攻撃では、セキュリティ研究者に対して偽のカーネルアップグレードを要求するメールが送付された。被害者がリンクにアクセスすると、悪意のあるコードを実行するように要求するフィッシングサイトにリダイレクトされ、コードを実行すると上記と同じ暗号資産マイナーに感染する。
-
悪意のあるコードを実行するように要求するフィッシングサイト 引用:Datadog
偽のPoCコードを配布する手法では、配布サイトとしてGitHubが悪用された。脅威アクターは生成AIによる偽のプロフィール写真を使用して複数のGitHubアカウントを作成し、互いのリポジトリにスターを付け、また、フォークすることで信頼感のある架空の人物を作り出した。
-
偽プロフィール写真を使用した活動実態のない攻撃者のGitHubアカウントの例 引用:Datadog
これら偽アカウントのリポジトリからは特定の脆弱性(CVE)に対する偽のPoCコードが配布された。コード構築時に実行する「configure」コマンドや、概念実証コードそのもの、PoCコードが読み込むリソースなどに悪意のあるコードが含まれており、実行すると最終的に上記と同じ暗号資産マイナーに感染する。
なお、これら悪意のあるリポジトリは、Feedly Threat IntelligenceやVulnmonにPoCリポジトリとして登録されている。Datadogは正しさを保証したサービスではないとして、これらWebサイトの情報を鵜呑みにしないよう呼びかけている。
-
侵害経路 引用:Datadog
影響と対策
Datadogの調査によると、本稿執筆時点で数十台以上のデバイスが暗号資産マイナーに侵害され続けているという。また、これらデバイスは、SSHの秘密鍵、Amazon Web Services(AWS)の認証情報、コマンド履歴などを窃取された可能性がある。
このような攻撃を回避するために、ソースコードの徹底的な分析と、使い捨ての仮想環境でPoCを実験することが推奨されている。また、Datadogは本件調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
グループ全体のセキュリティ強化を目指す、三井不動産グループの取り組みとは
