中国のサイバーセキュリティ大手「奇安信集団(QianXin Group)」の奇安信X実験室(QiAnXin X-Lab)の最近のブログによると、Funnull(Funnull Technology Inc.)が活動を再開、中国語圏で利用されているオープンソースのCMS(コンテンツ管理システム)である「maccms.la」版maccmsを悪用してバックドアを配布しているということです。
パブリックCDNのURLの綴りに似せたドメイン
Funnull は中国の地下組織から「詐欺専用クラウド」として広く知られているいわゆる防弾ホスティングプロバイダーで、世界中の大手クラウドサービス会社からIPアドレスを大量に購入してDGA(Domain Generation Algorithm)が生成したドメインと組み合わせて犯罪グループに転売し、豚の屠殺詐欺や投資詐欺などの犯罪を下支えしてきました。また、買収したJavaScriptライブラリのPolyfill.ioを悪用してサプライチェーン攻撃を行い、モバイルユーザーをオンラインのアジア系ギャンブルサイトや詐欺サイトに誘導するなどした「実績」があります。
2025年5月に米財務省外国資産管理局(OFAC)により制裁指定されたことで、Funnullの活動は停止したということですが、奇安信X実験室が新たに発見した主要なパブリックCDNのURLの綴りに似せたドメインでホストされているスクリプトは2024年2月のPolyfill.ioサプライチェーン攻撃、2024年5月に発生したGoEdgeポイズニングインシデントで使用されたスクリプトと実質的に同一で、Funnullによるものだということです。これらスクリプトによってウェブサイト訪問者はキャンブルやポルノサイトにリダイレクトされており、これら偽装ドメインはすでに大きなリーチを達成しているということです。
PHPバックドアを配布するサプライチェーン攻撃
また、中国の中小規模のストリーミングサイト運営者に広く採用されているオープンソースのCMS(コンテンツ管理システム)である「maccms.la」版のmaccmsチャンネルから悪意のあるPHPバックドアが配布されているということです。maccms.la版というのは、オリジナルのmaccmsが2019年ころに更新を停止した後にアップデートとサポートが行われているコミュニティバージョンで、GitHubプロジェクトには2700以上のスターがついており、ユーザーから高い評価を受けているプロジェクトだということです。
ところが悪意のあるPHPバックドアコードの配信に悪用されるようになり、配信されているPHPバックドアがサーバー上で実行されるとさらに悪意のあるJavaScriptが挿入され、フロントエンドページを乗っ取ってトラフィックを操作するということです。これらの悪意のあるスクリプトの技術的な特徴はFunnullグループが過去に複数の攻撃で使用した手法と一致しているとして、奇安信はmaccms.laは事実上、Funnullグループの攻撃インフラの一部として運用されていると指摘しています。奇安信X実験室のブログは、ネットワーク管理者とウェブサイト所有者にただちに自己検査を行うように求めるとともにmaccmsp.laを使用しないことを勧めています。
Funnull Technology Inc.はフィリピンを拠点にしている企業とみられていますが、管理者は中国人とされ、アメリカは企業と管理者ともに制裁指定しています。東南アジアを拠点に暗号資産投資詐欺などのサイバー犯罪を大規模に行っていたグループが現在、各国の捜査機関の連携により摘発されていますが、Funnullはこうしたグループに犯罪インフラを提供してきたとみられています。奇安信X実験室のブログによれば、米制裁により身を潜めていたFunnullは中国語圏のユーザーをターゲットに活動を再開しているようです。
【出典】