4,000以上の放棄された、しかしまだアクティブなウェブバックドアが、研究者がコマンドに使用される期限切れドメインを登録した後、ハイジャックされ、その通信インフラがシンクホールされた。
ライブマルウェア(ウェブシェル)の一部は、政府や大学のシステムなど、知名度の高いターゲットのウェブサーバ上に配置され、通信ドメインを制御するツールからのコマンドを実行できるようになっていた。
The Shadowserver Foundationとともに、攻撃型セキュリティ企業であるWatchTowr Labsの研究者は、これらのドメインと対応する被害者が悪意のある行為者の手に渡るのを防ぎました。
侵入された何千ものシステムを発見
バックドアとは、不正なリモートアクセスや制御を可能にするために、侵害されたシステムに仕掛けられた悪意のあるツールやコードのことです。脅威者は通常、持続的なアクセスや、侵害されたシステム上で攻撃を促進するコマンドを実行するためにバックドアを使用します。
WatchTowr の研究者は、様々なウェブシェルでドメインの検索を開始し、有効期限が切れたものはすべて購入し、実質的にバックドアを制御するようにした。
ロギング・システムをセットアップした後、放棄されたがまだアクティブなマルウェアは、研究者が少なくとも被害者の一部を特定できるようなリクエストを送信し始めた。
40以上のドメインを登録したところ、4,000以上の侵害されたシステムから “家に電話をかけよう “とする通信を受信した。
研究者は、”古典的な “r57shell、ファイル管理とブルートフォース機能を提供する、より高度なc99shell、APTグループにしばしばリンクされている “China Chopper “ウェブシェルなど、いくつかのバックドアタイプを発見した。
この報告書では、Lazarus Groupに関連する動作を示す1つのバックドアについても言及しているが、このバックドアについては後に、この脅威行為者のツールを他者が再利用したものである可能性が高いと説明している。
WatchTowrは、侵入されたさまざまなマシンの中で、裁判所を含む中国の政府インフラ内の複数のシステム、侵害されたナイジェリア政府の司法システム、バングラデシュの政府ネットワーク内のシステムを発見した。
さらに、タイ、中国、韓国の教育機関でも感染したシステムが見つかりました。
WatchTowrは乗っ取られたドメインの管理責任をShadowserver Foundationに引き渡し、今後乗っ取りができないようにした。Shadowserverは現在、侵入されたシステムから同社のドメインに送られるすべてのトラフィックをシンクホーリングしている。
WatchTowrの調査は、複雑なものではないものの、マルウェアの操作で期限切れになったドメインは、まだ新しいサイバー犯罪者の役に立つ可能性があることを示している。
Comments