WordPressの架空の脆弱性について警告するフィッシングメールがバックドアプラグインを配布
(情報源:BleepingComputer – December 4, 2023)
WordPressの架空の脆弱性について警告する内容の偽セキュリティアドバイザリメールが、サイトを悪意あるプラグインに感染させる目的でサイト管理者たちへ送られているという。WordfenceとPatchStackのWordPress専門セキュリティエキスパートらが報告した。
偽のセキュリティアドバイザリメール
WordPressサイト管理者らへ送られるフィッシングメールは、架空のリモートコード実行の脆弱性が受信者のサイトに存在すると知らせ、「パッチ」のためのプラグインをダウンロード・インストールするよう促す内容。なお、この脆弱性のCVE識別子はCVE-2023-45124とされているが、現時点でこのCVEは有効ではない。
メールの後半には「Download Plugin」と記されたボタンが表示されており、これをクリックした受信者は、正規のWordPressサイト(wordpress.com)に見せかけた偽のランディングページ(en-gb-wordpress[.]org)へリダイレクトされるという。
悪意あるプラグインの挙動
悪意ある隠し管理者ユーザーの作成
偽のランディングページからインストールされたプラグインは、「wpsecuritypatch」というユーザー名の悪意ある管理者ユーザーを作成。このユーザーは正規ユーザーに気付かれないよう身を隠す性能を持っており、感染したサイトに関する情報を攻撃者のC2ドメイン(wpgate[.]zip)へ送る。
バックドアのダウンロード
またこのプラグインは、wpgate[.]zipからバックドアをダウンロードし、webroot内に「wp-autoload.php」というファイル名で保存する。このバックドアはファイル管理機能やSQLクライアント、PHPコンソール、コマンドラインターミナルを備えており、サーバー環境に関する詳細な情報を攻撃者へ提示するという。
攻撃者の最終目標は不明
現時点でこのプラグインを用いたオペレーションの最終的な目標は不明だとされているが、PatchStackは、プラグインは将来的に以下のような目的で利用される可能性があると述べている。
・感染したサイトへ広告インジェクションを行う
・サイト訪問者を悪意あるサイトへリダイレクトする
・その他の感染サイトと併せてDDoS攻撃のためにバックドアを活用する
・請求先情報を窃取する
・感染したサイトの機微な情報を使った恐喝行為を行う(データベースのコピーを作成し、それをリークされたくなければ暗号資産を支払えと脅す、など)
悪意あるプラグインは、インストール済みプラグインのリストに含まれないよう身を隠しているため、排除するにはサイトのルートディレクトリを手動で調査する必要があるとのこと。なお、WordfenceとPatchStackのブログ記事ではIoCが提供されている。
12月5日:その他のサイバーセキュリティ関連ニュース
ロシアが支援するハッカーらがパッチ未適用のOutlookシステムを攻撃している、とマイクロソフト(CVE-2023-23397)
The Record – December 5th, 2023
マイクロソフトによると、ロシアの軍参謀本部情報総局(GRU)とのつながりが指摘される脅威アクターForest Blizzard(Fancy Bear/APT28)が、標的のEメールにアクセスするために同社のソフトウェアにおける脆弱性CVE-2023-23397を未だ盛んに悪用しているという。この脆弱性はWindowsデバイス上のMicrosoft Outlookのすべてのバージョンに影響するもので、悪用が成功すると、ハッカーは被害者のメールのやり取りにアクセスできるようになる。同社は、ロシアのハッカーが2022年4月からMicrosoft Exchangeサーバー内のメールアカウントへ不正にアクセスする目的でこの脆弱性の悪用を試みていることを明かしている。ポーランドのCyber Commandによると、同グループは高度な技術を持っており、Microsoft Exchangeのアーキテクチャとメカニズムに関する深い知識を持っているという。なお、マイクロソフトは今年の春にパッチをリリースしており、同脆弱性によるリスクを軽減するために、ユーザーはパッチを適用し、ソフトウェアが最新の状態に保たれていることを確認する必要があるとも述べている。
関連記事:ロシアハッカー「Fancy Bear」によるウクライナ政府や軍事組織狙った新たなフィッシングキャンペーンが発覚
P2PInfectボットネットのMIPS用新亜種がルーターとIoTデバイスを狙う
The Hacker News – December 4th, 2023
ルーターやIoTデバイスを標的とするボットネットP2PInfect(Rustベースのマルウェア)の新たな亜種が発見された。これはMicroprocessor without Interlocked Pipelined Stages (MIPS)アーキテクチャ用にコンパイルされており、MIPSを標的にすることで、ルーターやIoTデバイスをマルウェアに感染させることが意図されている可能性が高いという。また、32ビットのMIPSプロセッサを搭載したデバイスに対してSSHブルートフォース攻撃を試みるだけでなく、検知をかいくぐるために最新の回避およびアンチ解析の手法が詰め込まれている模様。さらに、Redis用に埋め込まれたWindowsのDLLモジュール(64ビット)も含まれており、侵害されたシステム上でシェルコマンドを実行することができるという。新たな亜種が注目に値する防御回避性能を取り入れていることや、クロスプラットフォームの言語であるRustを利用したり、P2PInfect自体が急速に成長したりしていることを踏まえると、以前から指摘されていた、高度な技能を持つ脅威アクターが背後にいるという仮説の信憑性が強まっているとのこと。