ステガノグラフィーで隠蔽した不正スクリプト配布、Alibaba クラウドを不正使用

　トレンドマイクロ株式会社は8月24日、Alibabaクラウドのオブジェクト・ストレージ・サービスを不正利用したマルウェア配布や違法な暗号資産マイニングを行う攻撃キャンペーンの存在が確認したと同社ブログで発表した。

　同社では以前、不正な暗号資産マイニングを行う攻撃者が、過去にマルウェアを感染させることで流出させた認証情報やシステム上の設定不備を利用し、「Huawei Cloud」をはじめとする複数のクラウド環境に侵入し、暗号資産マイニング用マルウェアのインストールを行うことを報告している。

　OSS（OSS：Object Storage Service）はAlibabaクラウド（別称Aliyun）の顧客を対象に、Webアプリケーションのイメージやバックアップ情報をクラウド内に保存する機能を提供するサービスで、同社では今年の早い段階に、攻撃者がAlibabaクラウドの機能を無効化してクリプトジャッキングを行う手口について確認していた。

　同社では今回確認した攻撃キャンペーンについて技術的な詳細を調査したところ、シェルスクリプト内に「OSS」、「KeySecret」、「GitHub」といった文言を含むコメント文を発見したため、攻撃者がGitHubのパブリック・リポジトリから不注意なユーザがプッシュした認証情報を単純に検索しようとしていると想定し、当該の中国語で書かれたコメント文をGoogle翻訳で英語に訳したところ、GitHubリポジトリから認証情報を窃取しようとする意図を推測できるとのこと。

　同社でさらに調査を進めた結果、攻撃者が不正なスクリプトをステガノグラフィーによって画像内に埋め込み、その画像を先にアクセス権限を掌握したOSSバケットにアップロードしたことが判明した。今回の攻撃キャンペーンでは、画像にマルウェアを埋め込むステガノグラフィー技術の中でも比較的単純な方式が用いられる傾向が見られ、PNGの画像自体は正常なものだが不正なシェルスクリプトがファイル末尾に埋め込まれ、ユーザが画像を開いた場合は不正なシェルスクリプトは無視され、正常な画像のみが表示される。

　同社によると、今回の攻撃で用いられたペイロード本体は、マルチプラットフォームで動作するオープンソースの暗号資産マイナー「XMRig」を利用して、暗号資産「Monero」を不正マイニングすること判明したとのこと。