Webカメラハッキングツールに仕込まれた「罠」

『Security Affairs』

November 15, 2017 08:00
by 『Security Affairs』

ハッカー初心者は無料のハッキングツールを利用する際は気をつけてほしい。それらの多くはペテンだからだ。ここ最近、セキュリティ専門家たちは「バックドアがこっそり仕込まれた偽のハッキングツール」の事例を何度か報告していた。たとえば偽物のFacebookハッキングツールCobian RATなどだ。

そして今回、NewSky Securityのセキュリティ研究者Ankit Anubhavは、「バックドアが仕掛けられた新たなツール」がいくつかの地下ハッキングフォーラムで提供されているのを発見した。このハッキングツールは、脆弱なバージョンの組み込み型「GoAhead WebServer」を利用している、脆弱なIPカメラをインターネットでスキャンすることができる、無料のPHPスクリプトだ。

「脆弱なバージョンの組み込み型GoAhead WebServerを採用しているIoTデバイスが、地下のフォーラムで注目を集めている。これは『CVE-2017-8225などの脆弱性を悪用してハッキングできるIPカメラ』が多数出回っていることが原因であり、ボットネット『IoTroop/Reaper』はすでに、この脆弱性を活用している」と、Anubhavはブログ記事で述べている。

「我々は2017年10月22日に、とあるサイト(いかがわしいながらも人気があり、IoTボットネットのスクリプトを提供することもあるサイト)で新たなコードが提供されているのを発見した。この『NEW IPCAM EXPLOIT』と名付けられたスクリプトは、スクリプトキディたちに『脆弱な組み込み型のGoAhead WebServerを利用している可能性のあるIoTデバイス』を見つけさせ、楽にハッキングができるようにすると宣伝していた」

AnubhavがNEW IPCAM EXPLOITを分析したところ、このツールには「利用したワナビーの犯罪者たち」をハッキングするコードが含まれていた。つまりスクリプトキディがボットネットを所有して、ペテン師たちがそれを乗っ取るために、このツールは利用されるということになる。

NEW IPCAM EXPLOITは「GoAhead-Webs」というバナーをチェックして、組み込みのGoAhead WebServerを使用するデバイスをスキャンする。そのスクリプトの最後には、シェルスクリプトを利用したバックドアのスクリプトがあった。それは悪意を持ったサーバーに接続して第二段階のスクリプトをダウンロードし、実行するものであった。

NEW IPCAM EXPLOITの「IoTスキャン」のスクリプトは、4つのステップで働く
 
(1)このスクリプトは、認証バイパスの脆弱性「CVE-2017-8225」の影響を受けるGoAhead WebServerを求めてIPアドレスをスキャンする。この脆弱性は、ワイヤレスIPカメラ(P2P)無線LANカメラ・デバイスに影響するものだ。
 
(2)このスクリプトは、ワナビーのサイバー犯罪者たちのシステム上に、ユーザーアカウント(ユーザー名:VM、パスワード:Meme123)を作成して、隠されたバックドアを確立する。そのペテン師は、被害者と同じ権限を得ることになる。
 
(3)感染したシステムにリモートアクセスするため、このスクリプトはワナビーのハッカーのIPアドレスを確認する。
 
(4)このスクリプトは被害者のシステム上で「第2のペイロード」を実行し、場合によってはKaitenボットをインストールする。

より詳しい調査を行った『Bleeping computers』の専門家たちは、このスクリプトの作者が以前にも「バックドアの仕掛けられたハッキングツール」をオンラインに公開していたことを報告した。

「このバックドアの作成者が利用している複数のIDを詳しく調査した。その結果、この人物がバックドアの仕掛けられたマルウェアを公開したり、他のハッカーたちとオンラインで争ったりしたのは今回が初めてではない、ということも判明した。だからこそAnubhavは、そのハッカーの名前で特定したファイルを発見したのかもしれない」とBleepingcomputerは報告している
 
翻訳:編集部
原文:Hack the hackers. Watcha out the NEW IPCAM EXPLOIT, it is a scam!
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

今年の9月に掲載した、SecurityAffairsの記事「ダークウェブに巣食う「クロサギ」 闇市場で売られているRAT「Cobian」にバックドア」と同様に、サイバー犯罪者を狙った「攻撃ツールにマルウェア」が仕込まれていた事件だ。

SecurityAffairsの記事では触れていないがAnubhav氏のブログには、攻撃者視点で考えるとスクリプトキディ(=自分ではプログラムを書けず、他人が書いたプログラムを使いサイバー攻撃やイタズラする輩の俗称)をターゲットにするのは効率的だ、と述べている。なぜならIoTカメラのハッキングツールに興味があるスクリプトキディであれば、サイバー攻撃に利用する素材や管理しているボットネットワークの認証情報、漏洩データなどを持っている可能性が高いためだ。今回のマルウェアにうまく感染させれば、スクリプトキディが利用しているボットネットを、攻撃者が自由にコントロールすることができる。

筆者がハッキングフォーラムを観察していると、スクリプトキディやハッキングに興味がある初心者は、好奇心が強いユーザーが多いように感じる。彼らは他のユーザーから紹介されたハッキングツールを試して、その感想や質問を書き込んでいる。外部から見ているとハラハラする行為だが、彼らは試さずにはいられないのだろう。攻撃者にとって価値が高いデジタル資産も所持しているスクリプトキディは、ますます狙われ続けるだろう。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…