ステガノグラフィーで隠蔽した不正スクリプト配布、Alibaba クラウドを不正使用 | ScanNetSecurity
2024.03.29(金)

ステガノグラフィーで隠蔽した不正スクリプト配布、Alibaba クラウドを不正使用

 トレンドマイクロ株式会社は8月24日、Alibabaクラウドのオブジェクト・ストレージ・サービスを不正利用したマルウェア配布や違法な暗号資産マイニングを行う攻撃キャンペーンの存在が確認したと同社ブログで発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 トレンドマイクロ株式会社は8月24日、Alibabaクラウドのオブジェクト・ストレージ・サービスを不正利用したマルウェア配布や違法な暗号資産マイニングを行う攻撃キャンペーンの存在が確認したと同社ブログで発表した。

 同社では以前、不正な暗号資産マイニングを行う攻撃者が、過去にマルウェアを感染させることで流出させた認証情報やシステム上の設定不備を利用し、「Huawei Cloud」をはじめとする複数のクラウド環境に侵入し、暗号資産マイニング用マルウェアのインストールを行うことを報告している。

 OSS(OSS:Object Storage Service)はAlibabaクラウド(別称Aliyun)の顧客を対象に、Webアプリケーションのイメージやバックアップ情報をクラウド内に保存する機能を提供するサービスで、同社では今年の早い段階に、攻撃者がAlibabaクラウドの機能を無効化してクリプトジャッキングを行う手口について確認していた。

 同社では今回確認した攻撃キャンペーンについて技術的な詳細を調査したところ、シェルスクリプト内に「OSS」、「KeySecret」、「GitHub」といった文言を含むコメント文を発見したため、攻撃者がGitHubのパブリック・リポジトリから不注意なユーザがプッシュした認証情報を単純に検索しようとしていると想定し、当該の中国語で書かれたコメント文をGoogle翻訳で英語に訳したところ、GitHubリポジトリから認証情報を窃取しようとする意図を推測できるとのこと。

 同社でさらに調査を進めた結果、攻撃者が不正なスクリプトをステガノグラフィーによって画像内に埋め込み、その画像を先にアクセス権限を掌握したOSSバケットにアップロードしたことが判明した。今回の攻撃キャンペーンでは、画像にマルウェアを埋め込むステガノグラフィー技術の中でも比較的単純な方式が用いられる傾向が見られ、PNGの画像自体は正常なものだが不正なシェルスクリプトがファイル末尾に埋め込まれ、ユーザが画像を開いた場合は不正なシェルスクリプトは無視され、正常な画像のみが表示される。

 同社によると、今回の攻撃で用いられたペイロード本体は、マルチプラットフォームで動作するオープンソースの暗号資産マイナー「XMRig」を利用して、暗号資産「Monero」を不正マイニングすること判明したとのこと。

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×