概要:Linux Snapパッケージに対する巧妙な攻撃
ハッカー集団がCanonicalのSnap Storeを標的とした高度なキャンペーンを展開しています。これまで新規アカウントでマルウェアを公開していた手口から、有効期限切れドメインの乗っ取りを通じて、既存の信頼されたパブリッシャーのアカウントをハイジャックする手法に切り替わりました。この攻撃は、LinuxユーザーがSnapパッケージをインストールする際にこれまで頼りにしてきた信頼のシグナルを根本から揺るがすものです。
攻撃手法:有効期限切れドメインの悪用
詐欺師たちは、アカウント回復メカニズムの重大な脆弱性を発見しました。彼らは、長年公開されてきたSnapパッケージの中で、開発者のメールアドレスのドメインがすでに有効期限切れとなっているものを体系的に特定します。例えば、「storewise.tech」や「vagueentertainment.com」のようなパブリッシャーのドメイン登録が失効すると、攻撃者はそのドメインを登録し、Snap Storeのパスワードリセット機能を利用してアカウントの乗っ取りを実行します。
ドメインの管理権を確立することで、通常であれば不審なアカウントに表示される「新規パブリッシャー」警告や厳格な審査を回避し、アカウント乗っ取りを成功させています。
深刻な影響:信頼性のあるパッケージがマルウェア配信元に
この攻撃の影響は甚大です。長年のインストール実績があり、これまで信頼されてきたSnapパッケージが、突然、仮想通貨ウォレット窃取マルウェアを含む悪意のあるアップデートを配信し始めました。これは、パブリッシャーの長期的な活動を信頼の指標としていたユーザーにとって、正規に見える経路からの攻撃を可能にしてしまいます。
マルウェアインフラの分析によると、犯人はクロアチアまたはその近辺から活動している可能性が高く、主にExodus、Ledger Live、Trust Walletなどを装った偽の仮想通貨ウォレットアプリケーションを展開しています。
- ユーザーにウォレットの回復フレーズの入力を促す。
- Telegram連携を介して攻撃者のインフラに認証情報を抜き取る。
- 偽のエラーを表示する。
- ユーザーが侵害に気づく前にウォレットを空にする。
といった一連の攻撃シーケンスを実行します。
技術的調査:C2インフラと難読化の手法
コマンド&コントロール(C2)インフラの技術的調査により、運用セキュリティの失敗が明らかになりました。SnapScopeによるバックエンド接続テストで、当初はTelegramボットの識別子やユーザー名(特に「pandadrainerbot」やユーザー「@ikaikaika101」)を含むJSONレスポンスが露出していました。しかし、この情報が露呈した後、詐欺師たちはこれらの識別子を削除しました。
C2のURLパターンは、機密データを要求する前に接続性を照会し、認証情報の収集前にデータ流出インフラが動作していることを確認しています。また、攻撃者は難読化の手法を段階的に洗練させています。
- 初期の試みでは、本物そっくりのアプリケーションインターフェースに依存していました。
- その後のイテレーションでは、ラテン文字を他のアルファベット(アルメニア語の「ժ」を「d」に、キリル文字の「ӏ」を「L」に)の視覚的に類似した文字で置き換えるホモグラフ攻撃を採用しました。
- 最近では、「lemon-throw」や「alpha-hub」のような無害なSnap名を登録し、承認のために無害なアプリケーションを公開し、信頼を得た後にウォレット窃取マルウェアを含む悪意のある改訂版をプッシュする「ベイト・アンド・スイッチ」アプローチを採用しています。
緩和策と推奨事項
Snap Storeのセキュリティモデルはコミュニティの報告に依存しており、マルウェアの公開から削除までに遅延が生じています。この状況に対し、以下の緩和策が推奨されます。
- パブリッシャーは:アクティブなドメイン登録を維持し、二要素認証(2FA)を有効にする必要があります。
- Canonicalは:パブリッシャーアカウントのドメイン有効期限監視を実装し、休眠アカウントに対して強制的な2FAを適用し、失効したドメインからのアカウント回復に対して追加の検証を要求すべきです。
- ユーザーは:いかなるアプリストアからも仮想通貨ウォレットアプリケーションをインストールすることを避け、公式プロジェクトのウェブサイトから直接ダウンロードすべきです。
7,000以上の公開されたSnapパッケージと最小限の公開障壁がある現状では、攻撃対象領域は広範なままです。公開から検出までのギャップはまだ狭く、信頼できないソースからの安全なインストールを保証するには不十分であると結論付けられています。