多段階で展開されるシステムの無断利用行為が観測されています。
流れを見てみましょう。
- 侵害済みのサーバを探す
始まりの取り組みは、侵害済みのサーバを探す行為から始まっています。
侵害済みのサーバの中には、別の脅威活動の中で別の脅威アクターがWebShellを設置したままになっているものがあります。
この脅威アクターはこういったものを探して悪用することで攻撃を開始します。
探すのはPHPで実現されたWebShellですので、WordPressなどのサイトがターゲットになります。 - GSocketツールキットの設置
悪用可能な設置済みWebShellのあるホストを発見すると、悪用が開始されます。
まずは、GSocketツールキットをそこに設置します。
GSocketはファイアウォールなどで守られたネットワークにあるホストに対してTCP接続を確立できるようにすることのできるものです。 - GSocketの永続化
そして、脅威アクターはGSocketが継続的に動作するような仕掛けも施します。
この段階まで進むと、脅威アクターは自由に侵害されたホストにアクセスできる状態になりますので、もともと他の脅威アクターの設置したWebShellを利用して攻撃を開始しましたが、もうそのWebShellは必要ではない状態になりました。 - 客寄せコンテンツの設置
ここまで来ると、次は客寄せコンテンツの設置です。
もともとターゲットにされているホストはWebサーバの機能があります。
そのWebサーバのコンテンツを勝手に増やします。
増やすのはHTMLページ群です。
このHTMLには、さまざまなオンラインギャンブルサービスの説明が記載されています。
ちなみに、この設置されるコンテンツには、検索エンジンからアクセスするとオンラインギャンブルサービスの説明の部分が表示され、そうでない場合には他のホストにリダイレクトされる機構が搭載されています。
国や地域によっては、ギャンブルは禁止されています。
しかし、そういったところの人のなかには、こういったサービスにアクセスしたい人は一定数いるでしょう。
検索エンジンでオンラインギャンブルを探して、見つけたと思ってアクセスしようとすると、別のサイトに飛ばされてしまうという具合です。
どのオンラインギャンブルサービスのリンクのあると思うコンテンツをクリックしても、飛ばされる先は一つのオンラインギャンブルのサイトになっていました。
人の欲望を足掛かりに、悪意ある活動は展開されます。
同じ技術要素を使うことで、もっと別の活動も実現できてしまいそうに思えます。
公開サイトはこういったことに巻き込まれやすいシステムです。
自身の関連する公開サイトの健全性が維持できていることを確認しながら運用したいですね。
GSocket Gambling Scavenger – How Hackers Use PHP Backdoors and GSocket to Facilitate Illegal Gambling in Indonesia
https://www.imperva.com/blog/how-hackers-use-php-backdoors-and-gsocket-to-facilitate-illegal-gambling-in-indonesia/
| この記事をシェア |
|
|---|
