ホーム » GitHub

GitHub、Netlify経由でコインマイナーを配信、脆弱性の悪用事例を解説

投稿日:2022年1月25日
脅威カテゴリ:脆弱性, 攻撃手法
執筆:Trend Micro

2021年初旬、共通脆弱性識別子「CVE-2021-41773」が割り当てられたセキュリティ上の弱点が「Apache HTTP Server Project」に公開されました。これは、Apache HTTP Serverのバージョン2.4.49に内在するパストラバーサルおよびリモートでコードが実行される（RCE）脆弱性です。この脆弱性が悪用されると、攻撃者はエイリアスのようなディレクティブにより構成されたディレクトリ外のファイルにURLを関連付けることが可能になります。また、エイリアスされたパスに対してCGI（Common Gateway Interface）スクリプトが有効になっている特定の設定下では、攻撃者がこの脆弱性をリモートコード実行に悪用する可能性もあります。最初にリリースされた修正（2.4.50）では不十分と判明した後、この修正に対するバイパスが報告されたことから、「CVE-2021-42013」として追跡調査が行われました。

その後、公式に修正されたバージョン（2.4.51）が、Apache HTTP Server Projectによってリリースされました。ただしトレンドマイクロでこの脆弱性を悪用する検体を分析したところ、攻撃者が暗号資産（旧仮想通貨）「Monero（XMR）」の不正マイニングを実施するために、脆弱な製品やパッケージに内在するさまざまな弱点を狙って、これらの脆弱性を突くエクスプロイト（脆弱性攻撃ツール）の多くを悪用していることを確認しました。本ブログ記事では、暗号資産採掘ツール（コインマイナー）やスクリプトをホストするためにGitHubおよびNetlifyのリポジトリやプラットフォームが悪用された手口について解説します。トレンドマイクロは今回確認した不正活動についてすでにGitHubおよびNetlifyに報告しており、問題のアカウントには停止措置が取られています。

(さらに…)

Webサイトテストツール「OpenBullet」を悪用したアカウントリスト攻撃の手口を解説

投稿日:2021年8月18日
脅威カテゴリ:その他, 攻撃手法
執筆:Trend Micro

アカウントリスト攻撃などの不正アクセスに関与するサイバー犯罪の脅威動向は減少する気配がなく、着実に増加しています。CDNサービス「Akamai」の報告では、2018年1月から2019年12月までに合計880億件のアカウントリスト攻撃が発生したとされています。アカウントリスト攻撃とは、実際に使用されているIDとパスワードがセットになったアカウントのリストを利用してWebサイトやオンラインサービスへの不正ログインを試行する攻撃のことです。「リスト型アカウントハッキング」、「クレデンシャルスタッフィング」などと呼ばれる場合もあります。不正ログインに成功した場合、金銭的利益に動機づけられた攻撃者は、被害者の銀行口座や機密情報に自由にアクセスできるようになります。またサイバー犯罪者は、詐取した認証情報をアンダーグラウンドフォーラムや闇市場などで販売して利益を得ています。

(さらに…)

「SLUB」の新しいバージョンを確認、「GitHub」の利用を停止し「Slack」のみをC&C通信に利用

投稿日:2019年7月17日
脅威カテゴリ:不正プログラム
執筆:Trend Micro

トレンドマイクロは2019年2月下旬、新種のバックドア型マルウェアを確認し、「SLUB」と名付けて3月14日の記事で解説しました。当時確認されたバージョンのSLUBは、VBScriptエンジンの脆弱性「CVE-2018-8174」を利用した水飲み場型攻撃で拡散し、リポジトリホスティングサービス「GitHub」とコミュニケーションプラットフォーム「Slack」を悪用してコマンド&コントロール（C&C）通信を行っていました。

2019年7月9日、新しいバージョンのSLUBが別のWebサイトを利用した水飲み場型攻撃によって拡散されていることが確認されました。この水飲み場型攻撃サイトは、Internet Explorer（IE）の遠隔からのコード実行（Remote Code Execution、RCE）脆弱性「CVE-2019-0752」を利用します。CVE-2019-0752はトレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative（ZDI）」によって発見された脆弱性で、2019年4月に修正プログラムが公開されています。今回の攻撃はCVE-2019-0752の利用が確認された初めての事例です。
(さらに…)

拡大する正規ツールによる隠蔽手口、マルウェアによる「Slack」の悪用を初確認

投稿日:2019年3月14日
脅威カテゴリ:不正プログラム
執筆:Trend Micro Cyber Safety Solutions Team

トレンドマイクロは、2019年2月下旬、新しいバックドア型マルウェア「SLUB」を送り込み感染PCから情報を窃取する攻撃を確認しました。この攻撃は、改ざんしたWebサイトに攻撃コードを仕込む「水飲み場型攻撃」によって対象PCを感染させ、リポジトリホスティングサービス「GitHub」およびコミュニケーションプラットフォーム「Slack」を利用してコマンド＆コントロール（C&C）通信を行います。SLUBは、感染PCから収集したファイルを、ファイル共有サービス「file.io」を利用して攻撃者に送信します。トレンドマイクロがSLUBを確認した時点で、このマルウェアは一般的にはまだ存在を認識されていないようでした。チャットプラットフォームが悪用される可能性については以前から指摘していましたが、Slackの悪用が確認されたのは今回が初めてです。

調査によって判明した「戦略、技術、手法（Tactics, Techniques and Procedures、TTP）」から、今回の攻撃は、通常のサイバー攻撃ではなく、有能な攻撃者によって実行された隠ぺい性の高い標的型攻撃だと考えられます。トレンドマイクロは、問題の脅威についてすぐにカナダのCSIRT（Computer Security Incident Response Team）である「Canadian Centre for Cyber Security」に通知しました。同センターは水飲み場型攻撃に利用されたWebサイトの運営者に注意喚起し、この脅威への対処を支援しました。

■水飲み場型攻撃と脆弱性の利用による感染の流れ

図1は水飲み場型攻撃による感染の流れを図示したものです。

図1：感染の流れ

(さらに…)

GitHub に 1 TBps 超の攻撃、「memcached」を利用する新たな DDoS 手法を解説

投稿日:2018年3月15日
脅威カテゴリ:サイバー攻撃
執筆:Trend Micro

2018 年 2 月末に報告された増幅型の「分散型サービス拒否（distributed denial-of-service、DDoS）攻撃」で、分散型メモリキャッシュシステム「memcached」を利用する新しい手法が確認されました。DDoS 攻撃で利用されるプロトコルといえば「Domain Name System（DNS）」、「Universal Plug and Play（UPnP）」、「Session Description Protocol（SDP）」、「Network Time Protocol（NTP）」などが一般的です。しかし、memcached を利用すると、過去に確認された DDoS 攻撃よりもはるかに大規模な攻撃を実行される恐れがあります。memcached はデータベースへのアクセスに関連した冗長な処理を削減することでデータへのアクセスを高速化しますが、残念なことにこのような memcached の特徴が DDoS 攻撃の増幅にも威力を発揮することが確認されました。

(さらに…)

「WINNTI」、C＆C通信にGitHubを悪用

投稿日:2017年3月30日
脅威カテゴリ:不正プログラム, サイバー攻撃, TrendLabs Report
執筆:Threat Researcher - Cedric Pernet

「WINNTI」、C＆C通信にGitHubを悪用

開発者は、ソフトウェアのバージョン更新や、プロジェクトの管理と維持のためにこまめにソースコードを変更したり再加工したりする必要があります。そのような目的のために広く利用されている「GitHub」は、バージョン管理システムを提供するオンラインのリポジトリホスティングサービスです。ソースコードの管理・共有・合作・統合のための貴重なプラットフォームを提供している GitHubは、プログラマや開発者のためのソーシャル・ネットワーキング・サイトのように活用されています。

しかし、GitHubは悪用されることもあります。オープンソースのランサムウェアのプロジェクト「EDA2」と「Hidden Tear」は、教育目的を意図して作成されたはずでしたが、GitHubで公開されて以来、さまざまなランサムウェア亜種を生み出し、企業に損害を与えてきました。「モノのインターネット（Internet of Things、IoT）」機器の不具合を悪用するツールも GitHubで入手可能でした。標的型攻撃で利用されたキーロガー「Limitless」でさえ、GitHubのプロジェクトにリンクしていました。

(さらに…)