Xurum：新しい Magento キャンペーンの発見

デジタルコマースは、一般的にサイバー犯罪者が幅広く標的としている業界 であり、Magento の人気が広がっているため、残念ながら特に魅力的な（利益の出やすい）標的となっています。最も顕著な攻撃は Magecartです。この攻撃は、JavaScript ベースのスキマーを展開して、機微なユーザー情報を不正に取得することを目的としています。 このような Magecart 攻撃者 は、機微な情報を取得するために、よく知られている Web の脆弱性を悪用します。

2015 年以降、Magento ストアをターゲットにした脅威グループが少なくとも 7 つあります。これは、このプラットフォームが注目されていることと、攻撃者がこの脆弱性を悪用して成功を収めていることを表しています。

2022 年初頭に脆弱性 CVE-2022-24086 が明らかになり、攻撃者は Magento テンプレートエンジンを悪用して、影響を受けやすいターゲットで任意の PHP コードを実行できるようになりました。この悪用は、 チェックアウトプロセスまたはウィッシュリスト機能の不正使用などの一般的な攻撃ベクトルを使用して、複数の手順で実行されます。この脆弱性は、発覚以降、脆弱な Magento 2 ストアを標的とする多くの Magecart 攻撃者 にとって、主要なエントリーポイントになりました。

過去数か月にわたって、Akamai は比較的少数の Magento 展開を標的とした集中的なキャンペーンを入念に監視してきました。そして、このキャンペーンに、攻撃者が利用する C2 サーバーのドメイン名を指す Xurum という名称を付けました。

この現在進行中のキャンペーンでは、計 4 つの IP アドレスから 2 つの異なるペイロードを実行しようとしている攻撃者が観測されました（図 1）。これらの IP は、2 つのホスティングプロバイダーのインフラに関連付けられています。そのプロバイダーとは、ドイツの Hetzner と米国の Shock Hosting です。

サーバー「xurum.com」の調査では、このサーバーが物理的にオランダにあり（図 4）、VDSina.ru というロシアのホスティング会社によってホストされていることが明らかになりました（図 5）。

この攻撃には、いくつかのバリエーションがあるため、他のキャンペーンと区別するためにこの攻撃を「xurum」と呼ぶことにしました。

多くの場合、攻撃者はドメインまたはマルウェアに対して固有の命名規則を採用します。これが、（意図して、または意図せずして）その攻撃者固有の署名として機能することになります。「xurum」の意味を調査したところ、2 つの解釈が可能であることがわかりました。

Google 翻訳によると、xurum の定義はラテン語の「right」であり、「正しいことをする」を意味しています（図 7）。また、WordSense Dictionary によると、かつてグアテマラで話されていた絶滅した言語で xurum は「boy」を表す単語です（図 8）。

このブログ記事の執筆時点で、攻撃者は xurum サーバーを停止し、品質保証フェーズにあると思われる別のサーバーに移行しています。

xurum サーバーからダウンロードされ、被害者のマシンで実行されている悪性の PHP スクリプトには、いくつかの感染段階があります。

まず、被害者に関する以下のような技術情報を収集します。

• PHP バージョン

• 攻撃が「/pub」ディレクトリ（Magento の共通ディレクトリ構造）に到達したかどうか

• 「/var/www/html/vendor/magento/google-shopping-ads/registration.php」ファイルが存在し、書き込み可能かどうか  

• 「env.php」ファイルの内容。このファイルには、Magento アプリケーションの重要な情報（環境固有の設定など）に加え、パスワード、クレジットカード詳細、顧客情報などの機微な情報を保護するために使用される暗号化キーなどの秘密も含まれます

次に、難読化された Base64 ブロブをデコードし、「/var/www/html/vendor/magento/google-shopping-ads/registration.php」ファイルに書き込みます（図 9）。

新しいファイルには興味をそそるコンテンツが含まれています。Web シェルの独自のコピーを保持して C2 サーバー上でホスティングするのではなく、新しいファイル内のコードは、セキュリティ研究者が所有する「Bad Advertiser」または「@0xbadad」というパブリック GitHub リポジトリを指しています。このリポジトリ内には、「wso-ng」という既知の Web シェルがあります。しかし、特に興味深いのは、Web シェルがサーバーのディスクに書き込まれるのではなく、新しく作成されたページ「registration.php」にアクセスした場合に、メモリー内でのみフェッチおよび実行される点です。 不正アクセスからさらに保護するために、攻撃者はこの Web シェルの実行を要求する際に特定の Cookie「magemojo000」の存在を必要とします。

次に、攻撃者は新しい Web シェル機能を新しい Magento コンポーネントとして登録し、「GoogleShoppingAds」としてマスクします（図 10）。

バックドアを設置した後、攻撃者は過去 10 日間の販売注文の支払方法に関する情報を取得し、以前に収集した技術情報とともに、このデータを xurum.com ドロップゾーンに流出させます（図 11）。

最後のステップで、攻撃者は「mageworx」（または一部のバリエーションでは「mageplaza」）という名前のバックドア管理ユーザーを作成します。これらの名前は、人気のある Magento 2 拡張ストアである Mageworx と Mageplaza から取ったものです（図 12）。この名前を選択したのは、自分たちの攻撃を信頼できる拡張プロバイダーによる正当な行動としてカモフラージュするためだと考えられます。

バックドア・ユーザー・メールアドレスには、面白い差異があります。メールアドレス developer@mageplazza.comの「mageplazza」には「z」が 2 つあるのに対し、正規のストアドメイン名である mageplaza.com には「z」が 1 つです。これは攻撃者による誤植のようです。別のバックドア・ユーザー・メールアドレスにも同様の誤植があります。たとえば、 support@magaworx.comでは、元のストア名 Mageworx の「e」の位置に「a」が使用されています。

Web シェルとは、悪性のスクリプトまたはコードの一部です。攻撃者は、Web シェルを Web サーバー上にアップロード／実行することで、そのサーバーとサーバー内のファイル／データへの不正アクセス／制御を永続的に行えるようになります。

このオペレーションでは、攻撃者は wso-ng という非常に高度な Web シェルを利用しています。この Web シェルは、前述のとおり、数年前にセキュリティ研究者が作成したものです。作成者が述べているとおり、wso-ng は古い有名な WSO（Web Shell by Orb）の新型です。

Web シェルの一般的な機能（システム情報の収集、ファイル管理、SQL 管理など）の他にも、wso-ng には優れた機能があります（図 13）。

そのような新機能の 1 つに、隠しログインページがあります。隠しログインページにアクセスすると、404 Not Found HTTP ステータスコードが返され、そのページが存在しないかのような印象を与えます。表示されているコンテンツは、一見すると空白のように見えます（図 14）。しかし、ページのソースコードを検査すると、隠しログインフォームがあることがわかります。

このフォームは、単純な CSS のトリックを使用して閲覧者から巧妙に隠されています。1,000 ピクセル左にシフトされ、表示領域外に効果的に配置されているのです。この隠しログインフォームは、ユーザーがパスワードを入力するまで待機するように設計されています。

xurum.com サーバー上の攻撃者の武器として、もう 1 つ興味深いツールがあることがわかりました。それは、Linux のローカル権限昇格に利用される、Dirty COW という名前の古い周知の脆弱性 CVE-2016-5195 です（図 15）。

Akamai の Web アプリケーションファイアウォール （WAF）を利用しているお客様の多くがこのキャンペーンを効果的に緩和したため、Akamai は攻撃者が実行したさらなるアクションを直接観測することはありませんでした。しかし、調査において、このキャンペーンに間接的に関連している Web サイト名が、エクスプロイトリクエストの Origin／Referer HTTP ヘッダーに表示されていることに気付きました。

これらの Web サイトの少なくとも 1 つが、単純な Web スキマーに感染していました。スキマーはメインページにインストールされており、難読化技術は適用されていませんでした。これにより、クレジットカード情報が収集され、「smileface.site」でホストされているドロップゾーンに抽出されました（図 16）。

アクセスが試みられると、この Web サイトは「Get out!」という冷たいメッセージで応答します（図 17）。

IP 情報は、サーバーがモスクワにあり、ロシアの「reg.ru」ホスティングによってホストされていることを示しています（図 18）。

調査により、このキャンペーンは遅くとも 2023 年 1 月末には始まっていたことが判明しました。攻撃者は、インターネット上で無差別に攻撃を浴びせるのではなく、特定の Magento 2 インスタンスをターゲットにした周到なアプローチをとっています。Magento に関する高度な専門知識を駆使して、その内部の把握、攻撃インフラのセットアップ、実際のターゲットに対する攻撃のテストにかなりの時間を費やしています。

このキャンペーンは、企業がパッチの適用やセキュリティ対策に苦労しているなか、何年も前に発覚した古い脆弱性がどのように悪用され続けるかを示す実例として参考になります。

サーバーへの初期アクセスを防止するため、セキュリティ担当者には、最新のパッチを常にアップデートし、 Akamai App & API Protectorなどの WAF を実装することを推奨します。

このような Magecart 攻撃者 の主な目的は Magento ページを Web スキマーに感染させ、顧客のクレジットカード情報を盗むことであるため、専用のセキュリティソリューションを追加することを強くお勧めします。必要なのは、ブラウザースクリプトのふるまいを可視化し、クライアント側の攻撃に対する防御を備えたソリューションです。

クライアントに対する実際の攻撃の発生場所の近くにセキュリティ対策を導入するのが効果的です。また、機微な情報の入力フィールドからの読み取りやデータ窃盗の試みを特定する機能も必要です。Akamai では、 Akamai Page Integrity Managerなどのセキュリティ製品を使用して、このようなイベントに関する情報を迅速に収集し、高速かつ効率的に緩和することを推奨しています。

お客様に対する最近の Magento 攻撃 CVE-2022-24086 に関する分析において、他のキャンペーンも発見し、現在調査を行っています。この調査をこれからも継続し、調査結果をセキュリティコミュニティと共有いたします。最新のセキュリティリサーチについては、 Twitter で Akamai をフォローしてください。

以下の脅威の痕跡情報（indicators of compromise、IOC）は、この記事で取り上げた悪性のアクティビティを検知するうえで役立ちます。