Last Updated on 2024-06-26 03:56 by 門倉 朋宏
新たなサイバー脅威「Boolka」が、SQLインジェクション攻撃を通じてBMANAGERトロイの木馬を展開していることが観察された。この未文書の脅威アクターは、2022年以降、様々な国のウェブサイトに対して機会主義的なSQLインジェクション攻撃を行い、悪意のあるJavaScriptスクリプトを用いてウェブサイトを侵害し、モジュラートロイの木馬であるBMANAGERを配信している。Group-IBの研究者によると、Boolkaは感染したウェブサイト上で入力されたデータを傍受するために、悪意のあるJavaScriptスクリプトを使用している。このJavaScriptは、訪問者が感染サイトにアクセスするたびに、”boolka[.]tk”というコマンド&コントロールサーバーに信号を送るよう設計されており、Base64エンコード形式でユーザーの入力と相互作用を収集し、外部に送信する。さらに、ユーザーを偽のローディングページにリダイレクトし、ブラウザ拡張機能のダウンロードとインストールを促すが、実際にはBMANAGERトロイの木馬のダウンローダーを落とし、ハードコードされたURLからマルウェアを取得しようとする。このマルウェア配信フレームワークはBeEFフレームワークに基づいている。トロイの木馬は、BMBACKUP(特定のパスからファイルを収集)、BMHOOK(実行中のアプリケーションとキーボードフォーカスを記録)、BMLOG(キーストロークをログ)、BMREADER(盗まれたデータをエクスポート)など、4つの追加モジュールを展開するための媒介として機能する。また、スケジュールされたタスクを使用してホスト上に永続性を確立する。研究者は、「ほとんどのサンプルがローカルSQLデータベースを使用している」と指摘している。Boolkaは、GambleForceやResumeLootersに続き、SQLインジェクション攻撃を利用して機密データを盗む3番目のアクターである。2022年から機会主義的なSQLインジェクション攻撃を開始し、自身のマルウェア配信プラットフォームとトロイの木馬の開発に至るまで、Boolkaのオペレーションは時間とともに洗練されてきた。
【ニュース解説】
新たなサイバー脅威「Boolka」とは、2022年以降、様々な国のウェブサイトを対象にSQLインジェクション攻撃を行い、感染させたウェブサイトに悪意のあるJavaScriptスクリプトを挿入してデータを盗み出す活動を行っている未文書の脅威アクターです。この攻撃により、モジュラートロイの木馬であるBMANAGERが配信されます。このトロイの木馬は、被害者のデバイスに様々な追加モジュールを展開し、機密情報を盗み出すことが可能です。
この攻撃の特徴は、感染したウェブサイト上でユーザーが入力した情報を傍受し、それを外部に送信するJavaScriptスクリプトを使用する点にあります。このスクリプトは、訪問者が感染サイトにアクセスするたびに、特定のコマンド&コントロールサーバーに信号を送り、ユーザーの入力と相互作用をBase64エンコード形式で収集します。さらに、ユーザーを偽のローディングページに誘導し、そこからBMANAGERトロイの木馬をダウンロードさせる手口を取ります。
このような攻撃は、個人情報の盗難や機密データの流出に直結し、被害者にとっては重大なセキュリティリスクとなります。また、企業や組織にとっても、ウェブサイトが侵害されることによる信頼失墜や法的責任の問題が生じる可能性があります。
Boolkaの活動は、サイバーセキュリティの分野において、攻撃者の技術が進化し続けていることを示しています。SQLインジェクション攻撃は比較的古い手法ですが、それを利用して新たなマルウェアを配信することで、依然として大きな脅威となっています。このような攻撃に対抗するためには、ウェブアプリケーションのセキュリティ対策を強化し、定期的な脆弱性評価やパッチ適用が不可欠です。
また、Boolkaのような脅威に対処するためには、セキュリティ意識の高い文化を組織内に構築し、従業員教育を通じてセキュリティリスクに対する認識を高めることも重要です。サイバーセキュリティは技術的な問題だけでなく、組織全体の取り組みが求められる分野であることを忘れてはなりません。
from New Cyberthreat 'Boolka' Deploying BMANAGER Trojan via SQLi Attacks.
