サプライチェーン攻撃で39万超のWordPressアカウントがハッカーから盗まれる | Codebook|Security News
Codebook|Security News > Articles > Threat Report > サプライチェーン攻撃で39万超のWordPressアカウントがハッカーから盗まれる

Threat Report

EDR

GitHub

Silobreaker-CyberAlert

サプライチェーン攻撃で39万超のWordPressアカウントがハッカーから盗まれる

nosa

nosa

2024.12.16

12月13~16日:サイバーセキュリティ関連ニュース

サプライチェーン攻撃で39万超のWordPressアカウントがハッカーから盗まれる

BleepingComputer – December 14, 2024 

脅威アクター「MUT-1244」がトロイの木馬化されたWordPress認証情報チェッカーを使い、ほかの脅威アクターを標的とした1年間にわたる大規模キャンペーンでWordPressのものと思われる39万件以上の認証情報を盗み出した。

この攻撃は、MUT-1244によるまた別のフィッシング/サプライチェーン攻撃キャンペーンの詳細とともにDatadog Security Labsのブログ記事の中で明かされている。同社の研究者によると、同フィッシング/サプライチェーン攻撃キャンペーンでは、多数の侵害されたシステムからSHH秘密鍵とAWSアクセスキーが盗まれたとのこと。被害者には複数の脅威アクターのほか、レッドチームやペンテスター、セキュリティ担当者などが含まれるという。攻撃の初期アクセスベクターは2通り存在し、1つは偽のカーネルアップグレードの話題を利用したフィッシングメールで被害者を騙してマルウェアをインストールさせるというもの。もう1つは、既知の脆弱性を狙った有害なPoCエクスプロイトを配布する偽のGitHubリポジトリを使うという方法で、このリポジトリを介して第2段階のペイロードが送り込まれる。

同キャンペーンは11月にCheckmarkxのレポートで報告された、1年間にわたるサプライチェーン攻撃と重複する点が見られるようだ。これらの攻撃ではGitHubプロジェクト「hpc20235/yawp」がnpmパッケージ「0xengine/xmlrpc」内の有害なコードを使ってトロイの木馬化され、データ窃取や暗号資産Moneroのマイニングを実行。展開されたマルウェアには、MUT-1244の攻撃を支援した暗号資産マイナーとバックドアが含まれていた。

Datadogの研究者は、0xengine/xmlrpcおよびMUT-1244が配布する第2段階のペイロードには、ハードコードされた認証情報が複数含まれていることを発見。これらを分析した結果、「MUT-1244はyawppというツールを使い、WordPressサイトのものと思われる認証情報39万件超を盗み出すことに成功していた」との評価を導き出している。これらの認証情報は、もともとほかの脅威アクターたちによって不正な手段で集められたものだとみられる。MUT-1244は、yawppを「認証情報の有効性を検証するためのツール」と謳って宣伝。これを信じたアクターらが自らの入手した認証情報をyawppを用いてチェックした際、チェックにかけられた認証情報がMUT-1244の手に渡るようになっていたとのこと。

Microsoft UIオートメーションフレームワークの悪用:EDR回避の新たな手法が公開される

Securityonline[.]info – December 13, 2024

Akamaiのセキュリティ研究者Tmer Peled氏が、Microsoft UIオートメーションフレームワークを悪用する新たな攻撃手法を発表した。今回の発見により、同フレームワークを武器にして最新のEDR(エンドポイント検出および対応)システムを回避し、重大なサイバーセキュリティ上の懸念を生み出す方法が明らかになっている。

このフレームワークは障がいを持つユーザーの支援を目的にWindows XP時代に導入され、ユーザーインターフェース(UI)要素を操作するための高度な権限を提供する。しかしPeled氏の調査により、攻撃者にクレジットカードなどの機微データを盗まれたり、ブラウザをフィッシングサイトへリダイレクトされる、あるいはメッセージングアプリを遠隔操作されたりするといった複数のリスクがあることが判明した。

最も憂慮すべき点の1つに挙げられるのは、EDRツールによる検知を回避できることだろう。Peled氏のテストでは、すべてのEDRが有害なアクティビティを検出できなかったと報告されている。マイクロソフト側もUIオートメーションと高い権限を持つアプリケーションとのやり取りを制限するなど対策を講じたようだが、この攻撃手法はXP以降のWindowsオペレーティングシステムで有効とされるため、脅威アクターたちにとって魅力的な選択肢になる可能性が高いという。

【無料配布中!】脅威アクターレポート

脅威アクターレポート:『Actor Profile : CyberVolk. group』

2024年9月〜10月にかけて日本の組織に対して真偽の疑わしいサイバー攻撃声明を繰り返した脅威アクター「CyberVolk. Group.」。弊社アナリストが同アクターによる過去の投稿データをもとにその目的、能力、動機、提携グループ、支援国を分析したレポート『Actor Profile : CyberVolk. group』を、以下のバナーより無料でダウンロードいただけます。

<レポートの主なトピック>

  • 要点
  • グループ概要
    ✔️攻撃声明
    ⚪︎DDoS攻撃声明
    ⚪︎サイバー恐喝
    ⚪︎その他日本の組織への攻撃声明
    ✔️他グループへの協力呼びかけ
    ⚪︎他の不法コミュニティでの悪評
    ✔️ランサムウェア等の宣伝
  • 評価

    Special Feature特集記事

    Cyber Intelligenceサイバーインテリジェンス

    Security情報セキュリティ