脅威アクターが米国企業のオンラインチェックアウトページを侵害し、クレジットカード情報を盗む - TechRepublic

脅威アクターが米国企業のオンラインチェックアウトページを侵害し、クレジットカード情報を盗む - TechRepublic
クレジットカード・スキム・米国法人・FBI
画像: weerapat1003/Adobe Stock。

FBIの新しいFLASHレポートは、サイバー犯罪者が米国企業の侵害されたオンラインチェックアウトページからクレジットカードのデータをスクレイピングしていると警告している。

すべては妥協から始まる

FBIによると、2020年9月に米国企業が正体不明の脅威アクターの標的となり、標的の企業のウェブサイトのチェックアウトページに悪意のあるPHPコードが挿入されたという。

チェックアウトページは、「cart_required_files.php」という別のコードへのリンクを追加するように改変されていました。このファイルは、「TempOrders.php」と呼ばれる別の悪意のあるPHPスクリプトにリンクしており、このスクリプトには、ショッピングカートから無防備な顧客データをスクレイピングして盗み出すコードが含まれていました。この侵害されたウェブサイトで商品を購入するすべてのユーザーは、意図せずクレジットカード情報を詐欺師に送信してしまうことになります。

参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)

詐欺師へのデータ送信方法は、接続を確立し、偽装されたカード処理ドメイン「authorizen.net」にデータを送信するというものでした。このドメイン名は、正規のカード処理会社のドメイン「authorize.net」と非常によく似ています。

TechRepublic の調査によると、この不正ドメインは 2016 年 12 月に登録されており、少なくとも 2018 年 11 月以降、疑わしいインターネット ユーザーから不正使用の報告が寄せられています。authorizen.net のホスティングは 2016 年以降、ロシアとルーマニアのサーバーのみで数回変更されています。

さらなるバックドアとツール

脅威の攻撃者は、侵害された Web サイトに 2 つの異なるバックドアをインストールしました。

FBIによると、最初のバックドアは、ウェブサイトのログインプロセスに1行のコードを挿入することでした。実行されると、システムは完全に機能するPASウェブシェルを、感染企業のウェブサーバーにダウンロードします。Fobushellとしても知られるPASウェブシェルは、Profexerというニックネームを持つウクライナ人開発者によって作成され、2016年から存在しています。修正版はオンラインで入手可能です。このウェブシェルは数千行のPHPコードで構成されており、攻撃者が被害者のウェブサイトに直接アクセスするための快適なインターフェースを提供します(図A)。

図A

FBI-US-ビジネス-CC-盗難-図A
画像: Github。PAS Web シェル インターフェースは、侵害された Web サイトへの完全なファイル アクセスを提供します。

未知の脅威アクターによってインストールされた2番目のバックドアは、正規表現を使用して、「u」という名前のHTTPリクエスト変数として送信されたコードを挿入して実行しました(図B)。

図B

FBI-US-ビジネス-CC-盗難-図B
画像: FBI。基本的なバックドアを確立するために使用されたHTTPリクエストの例。

脅威アクターは、バックドア攻撃のためにB374Kという別のWebシェルを使用しました。このWebシェルもインターネット上で入手可能であるため、サイバー犯罪者であれば誰でも簡単に入手・利用することができます。

攻撃者は、PHPベースのデータベース処理ツールであるAdminerという正規のツールも使用しました。このツールは、MySQLデータベースのコンテンツを管理するために使用できます。

クレジットカードのスキミングは増加傾向にある

この種のサイバー犯罪に特化した脅威アクターは増加しています。例えば、Magecartは、クレジットカード情報を収集するために数千のウェブサイトを標的とするアクターグループで、2016年から活動しています。

スキミングキットが比較的安価に入手できるようになったため、スキミング活動も最近増加しています。最近の調査によると、CaramelCorpのスキミングサービスは2,000米ドルで生涯サブスクリプションを提供していることが明らかになりました。これにより、技術レベルの低いサイバー犯罪者でもこのゲームに参加し、さらなる詐欺や金銭窃盗のためにクレジットカード番号を収集し始めることが容易になっています。

脅威から身を守る方法

いつものように、まず最初に推奨されるのは、オペレーティングシステムと、ウェブサイト上で実行されているすべてのソフトウェアとコードを更新し、パッチを適用することです。これにより、既知の脆弱性による侵害を受ける可能性が大幅に低減します。

CyvatarのCISOであるデイブ・カンディフ氏は、TechRepublicに対し、「組織の基本的なサイバーセキュリティを継続的に検証・監視することは、今日では必須事項です。組織のセキュリティの基盤が強固でなければ、どんなにセキュリティを強化しても無駄です。過去数年間にわたり追跡してきた攻撃や侵害のほぼすべては、基本的なセキュリティ対策の基本的な衛生管理アプローチに従うことで防ぐことができた、あるいは少なくとも影響を大幅に軽減できたはずです」と述べています。

Web サーバー上の不正アクセスや異常なアクティビティを検出するために、Web アプリケーションとサーバーを注意深く監視する必要もあります。

ウェブサーバーの一部またはウェブサーバーで処理されるデータにアクセスする必要があるすべての従業員に対して、多要素認証を設定する必要があります。デフォルトの認証情報がある場合は、完全に削除する必要があります。

ウェブコンテンツの整合性を常時チェックするとともに、コンテンツフィルタリングとファイル監視のセキュリティソリューションを導入する必要があります。脅威アクターは、バックドアを仕掛けたりクレジットカード情報の窃取を可能にするために、ウェブサイト上の正規のスクリプトを体系的に改変しているため、更新プロセス以外で静的ファイルに変更が加えられた場合は、直ちにフラグを付けて調査する必要があります。特にPHP、JS、ASPXファイルなどのスクリプトには注意が必要です。ウェブサーバー上に作成された新しいファイルはすべて警告を発し、調査する必要があります。

Shared Assessmentsの副社長、ロン・ブラッドリー氏は、「ウェブサイト、特に資金取引を扱うウェブサイトを運営していて、FIMが実装されていないなら、私はそこで買い物をしません。さらに、セキュリティ対策が不十分だと、悪意のある攻撃者に襲われることになります。クレジットカード情報は常に詐欺師にとって格好の標的の一つであることは周知の事実です。実戦で実証された対策を簡単に導入できたにもかかわらず、企業のカード情報が漏洩してしまうと、私は非常に驚かされます。eコマースの世界では、組織や関係者が基本的な攻撃から身を守るためにどのような技術的対策を講じているかを理解することが不可欠です」と断言しています。

開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。

Tagged: