脅威アクターは、支払いカードの電子スキミングのために Google タグ マネージャーを悪用し続けています

編集者注:レポートをPDFとしてダウンロードするには 、ここをクリックしてください 。

この®レポートは、 Google Tag Manager(GTM)の不正使用に関する以前のレポート に基づいており、脅威アクターがGTMコンテナを悪用してMagecartのeスキマー攻撃を行う方法の概要を更新しています。 対象読者は、金融機関、カードネットワーク、マーチャントサービス会社の法執行機関、詐欺および サイバー脅威インテリジェンス(CTI)チームです。

Executive Summary

Google タグ マネージャー(GTM)コンテナは、インターネット マーケティング、ウェブサイトの利用指標、顧客追跡のために、e コマース ドメインで頻繁に使用されます。 過去2年間で、Recorded Futureは、GTMコンテナ内に隠された悪意のあるスクリプトの3つの重要な亜種を発見しました。これらのスクリプトは、eスキマーとして、またはeスキマーをインストールするためのダウンローダーとして機能します。 eスキマーは、感染したeコマースWebサイトで買い物をした顧客の支払いカードデータと個人を特定できる情報(PII)を収集するために使用され、盗まれたデータを脅威アクターの制御下にある悪意のあるドメインに盗み出します。

GTMのような正規のWebサービスを悪用し、eスキマー攻撃チェーンに組み込むことは、脅威アクターに2つの大きな利点をもたらします。

• 被害を受けた電子商取引ドメイン上の感染したGTMコンテナにアクセスすると、脅威アクターは、被害を受けた電子商取引Webサイトのシステムにアクセスすることなく、GTMコンテナの内容を変更してスクリプトを更新したり、関連する悪意のあるドメインを交換したりすることができます。 これにより、Webサイトのログでの検出と疑わしいアクティビティを減らすことができます。
• eコマースWebサイトの管理者は、リソースを節約するために、「信頼できる」ソースドメイン(正当なGoogleサービスなど)をホワイトリストに登録できます。 その結果、セキュリティソフトウェアがGTMコンテナの内容をスキャンしないように設定され、感染したGTMコンテナの検出と修復が阻害され、永続性が向上する可能性があります。

この記事を書いている時点では、GTMベースのeスキマーの3つの亜種すべてが、eコマースドメインに感染し、顧客の支払いカードデータを危険にさらすために使用されています。 これらのGTMベースのeスキマーの亜種は、遅くとも2021年3月以降に使用を開始し、それ以来、新たに感染したeコマースドメインが毎月観測されています。 さらに、古い亜種(亜種1)と新しい亜種(亜種3)の類似性に基づいて、脅威アクターはスクリプトを積極的に更新して、検出と修復をさらに阻害している可能性があります。

主な判断

• eスキマーに感染した569のeコマースドメインを特定しました:314はGTMベースのeスキマーの亜種に感染していることが確認され、残りの255は盗んだデータをGTMの悪用に関連する悪意のあるドメインに流出させる感染を持っていました。
• 314のeコマースドメインは、GTMベースのeスキマーの亜種3つのうち1つに感染していることが確認されました。 これらのeコマースドメインのうち87は、2022年8月25日現在、感染したままです。 その後に修復された感染症の平均感染期間は3.5か月でした。
• GTMベースのeスキマーの3つの亜種は、それぞれ独自の悪意のあるドメインセットを使用して、盗まれたデータを受信します。 確認された314件のGTMベースのeスキマー攻撃以外にも、255のeコマースドメインがeスキマーに感染し、盗まれたデータをGTMの悪用に関連するドメインに流出させました。しかし、これらの修復後に行われたe-スキマー感染がGTMコンテナを介して送達されたのか、それとも別の方法によって送達されたのかを検証するには、過去の法医学的データが不十分です。
• この記事の執筆時点で、GTMコンテナ悪用攻撃の被害者に起因する165,000を超える支払いカード記録がダークウェブのカードショップに投稿されています。 GTMベースのeスキマーを介して侵害された支払いカードの総数は、おそらくもっと多いでしょう。

背景

GTMは、Googleが提供する正当なサービスであり、コンテナを使用してWeb開発者がJavaScriptやその他のリソースをWebサイトに埋め込むことができます。 このサービスは通常、インターネットマーケティング、Webサイトの使用指標、および顧客の追跡に使用されます。 Magecartの攻撃者は、HTML要素またはJavaScriptをGTMコンテナに配置できる機能を通じて、この正当なGoogleサービスを悪用し、これらのアイテムは後でGTMローダーによって実行時に被害者のWebサイトに挿入されることが確認されています。 現代のほとんどのケースでは、脅威アクター自身がGTMコンテナを作成し、それらをeコマースドメインにロードするために必要なGTMローダースクリプト設定を挿入します(eコマースWebサイトの管理者が作成した既存のGTMコンテナに悪意のあるコードを挿入するのとは対照的です)。

より広い意味では、このレポートで詳述されているアクティブなGTMベースのeスキマー攻撃手法は、脅威アクターによるGTMの悪用が観測された最初の事例ではありません。 2016 年、Google タグ マネージャーは不正使用に対抗するために GTM コンテナの自動 マルウェア検出 を開始しましたが、その後 2 年間で次のことが実施されます。

• The Registerは、 脅威アクターがGTMコンテナをクリプトジャッキングに悪用したと報告しました。
• サイバーセキュリティ企業の Sucuri は、GTMコンテナを悪用して、被害を受けたWebサイトに「不正な」広告を掲載し、Webトラフィックを(多くの場合、悪意のある)ドメインに誘導していると報告しました。

最終的に、2018年後半までに、脅威アクターがGTMコンテナを悪用して「悪意のあるコードを挿入する」方法を公然と説明し、悪意のあるアクティビティの種類を特定せずに、GTMコンテナの悪用に関する議論が一流のダークウェブフォーラムに登場しました。

図 1: 2018年、一流のダークウェブフォーラムで、脅威アクターがGTMコンテナを悪意のある目的で悪用する方法を説明しました(出典:Recorded Future)

脅威分析

私たちは、盗まれた支払いカードとカード所有者のデータをGTMベースのeスキマー攻撃に関連する悪意のあるドメインに盗み出すMagecartのeスキマーに感染した569のeコマースドメインを特定しました。 このレポートの時点で、eコマースドメインのうち87が感染したままであり、87のすべてが確認されたGTMベースのeスキマーに感染しています。

感染しなくなった482のeコマースドメインのうち、227のドメインでGTMベースのeスキマーの使用を確認しました。 しかし、残りの255の電子商取引ドメインでの感染がGTMベースの電子スキマーを使用したのか、それとも別の電子スキマータイプを使用したのかを決定的に確認するには、歴史的な法医学的証拠が不十分でした。 これらの電子商取引ドメインへの感染は、盗まれたデータを悪意のあるドメインに流出させ、そのドメインもGTMベースの攻撃から盗まれたデータを受け取ることが確認されたため、255のドメインのかなりの部分がGTMベースの電子スキマーに感染した可能性があります。

確認されたGTMベースの攻撃のうち、GTMベースのeスキマーの3つの亜種(以下、「Variant 1」、「Variant 2」、「Variant 3」)を特定し、各亜種の流出ドメインクラスターを決定しました。 3つのバリアントはすべて、別々のeスキマースクリプトと流出ドメインを使用します。 3つの変異株はすべて現在、アクティブな感染に使用されており、2022年8月には新しいeコマースドメインに感染するために展開されており、3つの変異株すべてがeコマースWebサイトとその顧客、ひいては金融機関やカードネットワークに積極的なリスクをもたらすことを示しています。

確認されたGTMベースの攻撃の被害者の類型

このレポートの時点で、ダークウェブのカードショップに投稿された165,000件以上の支払いカード記録は、確認されたGTMベースの攻撃に感染したeコマースドメインに起因するとされています。 感染したeコマースドメインの量、感染期間、月間平均累積訪問者数に基づくと、GTMベースの攻撃によって侵害された支払いカードレコードの総数はもっと多いと思われます。

下のグラフに示すように、バリアント 1 とバリアント 2 は、それぞれ 2021 年 3 月と 6 月に使用されるようになりました。 バリアント 3 は最新のもので、2022 年 7 月までに使用されました。 3つの亜種すべてにおいて、GTMベースのeスキマーは、感染したeコマースドメインに平均3.5か月間存在し、その後、修復または削除されました。

図 2: 感染が始まった月と亜種の種類別に、確認されたGTMベースのeスキマーに感染したeコマースドメインの数(出典:Recorded Future)

3つの亜種において、完全に確認されたGTMベースのeスキマー攻撃のみに焦点を当てると、脅威アクターは「価値の高い」eコマースドメインだけを標的にしたわけではなく、月間訪問者数が約100万人のeコマースドメインから月間訪問者数が10,000人未満のeコマースドメインまで攻撃が行われています。 以下の表は、現在感染しているeコマースドメインの月間平均訪問者数( この前のレポートですでに特定されたものを除く)の上位5つを示しています。

表1: GTMベースのeスキマーに感染したeコマースドメインの上位5つが、月間平均訪問者数に基づいてランク付けされました(出典:Recorded FutureおよびSimilarWeb)

標的となるeコマースドメインの地理的分布という点では、GTMベースのeスキマー攻撃を行う脅威アクターは、主に米国に本社を置く企業のeコマースドメインを標的にしており、米国を拠点とするカード保有者を標的にする意図があると思われます。

図 3: 感染した電子商取引ドメインの本社所在地に基づく上位10か国(出典:Recorded Future)

GTMベースのe-スキマーバリアント:設計とインパクト

3つの亜種の主な類似点は、すべてがGTMコンテナをe-スキマー攻撃チェーンに組み込んでいることです。 設計上、GTM システムは独自の JavaScript を使用して GTM コンテナを読み込み、そのコンテンツをリンク元の Web サイトに適用します。 脅威アクターは、正当なGTMローダーによって被害を受けたWebサイトにロードされることを知りながら、コンテナ内に悪意のあるコードを埋め込むことにより、この機能を悪用します。

GTMコンテナ内の対象変数は「vtp_html」(図4)で、これはGTMローダーによって読み取られ、被害者のページに挿入される文字列に対応します。 Magecartアクターは、 スクリプト タグと対応するJavaScriptを「vtp_html」変数内に配置し、Webブラウザによってロードおよび実行されます。

3つの亜種の主な違いは(盗まれた決済カードとカード所有者のデータを別々の悪意のあるドメインに流出させるという事実は除く)、GTMコンテナを介して最終的なeスキマースクリプトペイロードを配信する方法です。

• バリアント 1 は、難読化されていない e-スキマー JavaScript を GTM コンテナに直接埋め込み、感染ごとに一意の GTM コンテナを使用します。
• バリアント 2 は、ローダー スクリプトを GTM コンテナに埋め込みます。次に、ローダー スクリプトは、別のデュアルユース ドメイン (e-スキマー スクリプトをホストし、流出した支払いカード データを受信するために使用されるドメイン) から実際の e-skimmer スクリプトをプルします。 バリアント 2 は、複数の感染に対して複数の GTM コンテナを再利用します。
• バリアント1と同様に、バリアント3はe-skimmerのJavaScriptを直接GTMコンテナに埋め込み、感染ごとに一意のGTMコンテナを使用します。 バリアント 1 と 3 の主な違いは、バリアント 3 はカスタム難読化を使用することです。

最終的には、1 つの脅威グループが 3 つの亜種すべてに関与している可能性は低いです。ただし、単一の脅威グループまたは重複する脅威アクターのセットが、亜種1と3に関与している可能性があります。バリアント1は主に2021年に配備されましたが、バリアント3は2022年夏に登場しました。 このシナリオでは、バリアント 3 はバリアント 1 のより高度なバージョンを表し、検出の可能性を減らすためにカスタム難読化に依存しています。

以下のサブセクションでは、各亜種のeスキマーの設計と感染指標の概要を説明します。 2021年12月に発表された GTMベースのeスキマーに関する以前のレポート には、バリアント1および2の技術設計に関する詳細な情報が含まれています。

バリアント 1: 最初に特定され、難読化されていない

バリアント 1 は、e-スキマー スクリプトで "vtp_html" を読み込み、コンテナへのリンクを被害者の Web サイトに挿入し、被害者ごとに一意のコンテナを使用します。 バリアント 1 では難読化は行われません。

図 4: vtp_html要素内に悪意のあるバリアント1スクリプトを示すトロイの木馬化されたGTMコンテナの例(出典:imovr[.]com)

変異株1は、187のeコマースドメインに対して使用されるコンテナで観察されており、最初の被害者は遅くとも2021年3月までに感染しています。 この記事の執筆時点で、現在、52のドメインがバリアント1に感染しています。 さらに、61のeコマースドメインが、この亜種に関連する8つの悪意のあるドメインの1つに盗まれたデータを流出させる、修復後のeスキマーに感染しました。しかし、これら61人の感染が特にGTMベースのeスキマーであったかどうかを検証するには、過去のデータが不十分です。

表2: バリアント1のeスキマーは、盗まれたデータをこれらの悪意のあるドメインの1つに流出させるように設計されており、それによってGTMベースの攻撃とこれらのドメインとの関連性を確立します(出典:Recorded Future)

バリアント 2: GTM コンテナをデュアルユース ドメインのローダーとして使用

亜種2は、外部のeスキマーURL(実際のeスキマースクリプトをホストする)へのリンクを挿入するスクリプトを使用して「vtp_html」をロードし、eスキマーを被害を受けたWebサイトにロードすることにより、GTMコンテナをトロイの木馬化します。 亜種1や亜種3とは異なり、亜種2の背後にいる脅威アクターは、感染した複数のeコマースドメインでGTMコンテナを再利用しています。 GTMコンテナの寿命が尽きるまで、2つのコンテナが複数のeスキマーURLにリンクされています。

表3: 使用されたeスキマーURLの数、被害者の総数、アクティブな被害者の数、コンテナ活動の期間を示すバリアント2 GTMコンテナ識別子のリスト(出典:Recorded Future)

脅威アクターは、これらのトロイの木馬化されたコンテナへのリンクを118のeコマースWebサイトに挿入しており、最初の被害者は遅くとも2021年6月までに感染しています。 この記事の執筆時点では、22のeコマースWebサイトが感染したままです(表3の「アクティブな被害者」列の合計数は、現在2つのGTMコンテナに感染しているWebサイトであるため、23に相当します)。 キャンペーンを通じて、8人の被害者が3つのコンテナで感染し、24人が2つのコンテナで感染しました。さらに、195のeコマースドメインが、Variant 2に関連する17の悪意のあるドメインのうちの1つに盗まれたデータを流出させる、修復後のeスキマーに感染しました。しかし、これらの195人の感染が特にGTMベースのeスキマーであったかどうかを検証するには、過去のデータが不十分です。

表4: バリアント2のeスキマーは、盗んだデータをこれらの悪意のあるドメインの1つに流出させるように設計されており、それによってGTMベースの攻撃とこれらのドメインとの関連性を確立します(出典:Recorded Future)

バリアント 3: バリアント 1 と非常によく似ていますが、難読化されています

2022年7月、私たちはバリアント3を発見しましたが、これはバリアント1と類似している点で、以下の点で優れています。

• e-skimmer スクリプトを GTM コンテナに直接埋め込みます。
• 感染ごとに一意のGTMコンテナを使用します。
• 難読化されているものの、同様のe-skimmerスクリプト構造を採用しています。

バリアント 1 とバリアント 3 の主な違いは、バリアント 1 は難読化されていないのに対し、バリアント 3 はカスタム難読化を備えていることです。 さらに、亜種1と3はそれぞれ、盗んだデータを別々の悪意のあるドメインのセットに流出させます。ただし、どちらの亜種も、ユーザーをだまして正当なGoogleドメインであると思い込ませることを目的とした悪意のある「類似」ドメインを使用します。

亜種 2 の背後にいる脅威アクターが亜種 1 または 3 に関与している可能性は低いですが、同じ脅威グループまたは重複する脅威アクターのセットが亜種 1 と 3 に関与している可能性があります。

図 5: GTMローダーによる取得と注入後のスクリプトを示すバリアント3のスクリーンショット(出典:hvacdirect[.]com)

バリアント3は、GTMローダーを介してe-スキマースクリプト(図6)を被害を受けたWebページに挿入し、実行時に難読化を解除します。 バリアント 3 は、XOR 暗号アルゴリズム (図 6 の 13 行目から 16 行目) と埋め込みキー (図 6 の 36 行目、8 行目から 11 行目の関数でデコード) を使用して、スクリプト内のキー文字列を復号化します。 各 GTM コンテナは独自の暗号化キーを使用するため、侵害の指標としての使用を防ぎます。 この暗号化により、流出URLもマスクされます(図6、39行目)。 これらの手法は、HTML 要素を作成したり、ネットワーク接続を確立したりするキーワードや、既知の悪意のある文字列など、特定の JavaScript キーワードをキーとすることが多いアナリストや静的コード スキャナーから e-スキマーを隠すのに役立ちます。

図 6: デコードと復号化のルーチン、暗号化キー、流出URLを示す構文的にフォーマットされたe-skimmerスクリプトのスクリーンショット(出典:Recorded Future)

変異株3は、13のeコマースWebサイトに感染するために使用されており、この記事の執筆時点では、すべてのWebサイトが感染したままです。 この変異株の被害者13人のうち9人は2022年7月に感染し、残りは2022年8月に感染しました。 次の表に、バリアント 3 に関連する 4 つの悪意のある流出ドメインを示します。

テーブル5: バリアント3のeスキマーは、盗んだデータをこれらの悪意のあるドメインの1つに盗み出すように設計されており、それによってGTMベースの攻撃とこれらのドメインとの関連性を確立します(出典:Recorded Future)

軽減策

• EコマースWebサイトの管理者は、Webページ内で使用されるファイルのフルスキャンを実行して、既知の正常なベースラインを確立する必要があります。 その後、定期的なスキャンを行って不正な変更をチェックする必要があります。これは、ファイルの内容の違いチェックを通じて評価する必要があります。 バージョン管理ソフトウェアを使用すると、このタスクを達成できます。
• eコマースWebサイトの管理者は、ネットワークトラフィックを観察しながらWebサイトをブラウザにロードし、より詳細なレビューが必要な予期しない接続に焦点を当てる必要があります。
• eコマースWebサイトの管理者は、開発者コンソールの存在を検出すると、eスキマースクリプトがますます無効になるため、リモートデバッグプロセスを介してWebサイトの動的分析を行う必要があります。

今後の展望

GTMコンテナの悪用と同様に、脅威アクターは、公開されているWebサイトやテクノロジーを悪用し続け、それらを攻撃インフラストラクチャに組み込んでいます。これは、「自己登録」されたC2(コマンド&コントロール)サーバーよりも高いレジリエンス、匿名性、検出回避性を提供します。 セキュリティツールは、「信頼できる」ソースドメインでホストされているファイルをホワイトリストに登録することでリソースを節約するように構成されている可能性があるため、この同じ最適化はeコマースWebサイトにとって自滅的であり、Webサイトは悪用や悪意のあるファイルによる持続的な感染にさらされる可能性があります。

また、GTMコンテナの悪用により、脅威アクターは被害者のサーバーにアクセスすることなく、Magecartキャンペーンのインフラストラクチャとソフトウェアを更新できます。 悪意のある攻撃者は、これらの公開されている、多くの場合無料で使用できるサービスを利用し続ける可能性が高く、アトリビューションを抑制しながら感染を維持することを促進します。

このレポートで使用された情報源には、Recorded FutureのMagecart Overwatchプログラム、感染したeコマースWebサイトの手動分析、ダークウェブのカーディングショップが含まれます。

編集者注:レポートをPDFとしてダウンロードするには 、ここをクリックしてください 。