5月24~27日: サイバーセキュリティ関連ニュース
WordPressのマイナーなプラグインが悪用され、クレジットカード情報が盗まれる
Securityonline[.]info – MAY 24, 2024
Sucuriは、攻撃者が知名度の低いWordPressプラグイン「Dessky Snippets」を使ってサーバーサイドマルウェアをインストールし、オンラインストアからクレジットカード情報を収集していることを明らかにした。
この攻撃は5月11日に始まり、同プラグインのダウンロードは著しく増加。攻撃者はDessky Snippetsを使って有害なPHPコードをWebサイトに注入し、特にWooCommerceのチェックアウトプロセスを標的にしていたという。このPHPコードは、クレジットカードの詳細をスキミングするように設計されており、請求フォームに変更を加えて決済情報を取得していた模様。
SucuriはEコマースサイトの運営者に対し、定期的にパッチを適用したり、強固なパスワードを使ったりするなど、プロアクティブなセキュリティ対策をとることの重要性を強調。また、オンラインショッピングのユーザーに対しても注意を促しており、スクリプトをブロックするNoScriptなどのブラウザ拡張機能を使い、ウイルス対策ソフトウェアを常に最新の状態に保つことで、スキミング攻撃から身を守ることができると述べている。
MITREへの最近のサイバー攻撃、不正VM作成による検知回避の詳細が明らかに
The Hacker News – May 24, 2024
MITREが、12月下旬に発生した同社へのサイバー攻撃に関する続報を発表。ハッカーが用いていた、VMWare環境内に不正な仮想マシン(VM)を作成するという検知回避手法について、さらなる詳細を明らかにした。
攻撃者は、不正なVM内に存在するGo言語ベースのバックドア「BRICKSTORM」と、2つのWebシェル「BEEFLUSH」「BUSHWALK」を使って任意のコマンドを実行し、コマンド&コントロールサーバーと通信していたという。
このような動きの背景にある動機として、悪意ある活動がvCenterなどの集中管理インターフェースによって検出されるのを回避し、攻撃が発見されるリスクを低減しながら持続的なアクセスの維持を目指したことが挙げられている。
検出を回避してアクセスを維持しようとする攻撃に対して効果的な対策の1つに、セキュアブートを有効にすることが挙げられる。セキュアブートは、ブートプロセスの完全性を検証することで、不正な変更を防止するもの。
またMITREは、VMware環境内の潜在的な脅威の特定と、その緩和に役立つ2つのPowerShellスクリプト、Invoke-HiddenVMQueryとVirtualGHOSTを公開している。