GoTrim ボットネットのブルートフォース攻撃:WordPress サイトを狙っている

New GoTrim botnet brute forces WordPress site admin accounts

2022/12/13 BleepingComputer — GoTrim という名の新たな Go_based ボットネット・マルウェアが、セルフ・ホスティングの WordPress サイトを Web 上でスキャンし、管理者のパスワードにブルートゥース攻撃を仕掛け、サイトの制御を試みている。この侵害に成功した攻撃者は、マルウェアの展開/クレジットカード窃取スクリプトの注入/フィッシングページのホスティングなどのシナリオが展開して、侵害されたサイトの人気度によっては、数百万人に影響が生じる可能性がある。

このボットネットはサイバー犯罪界では有名であり、サイバー・セキュリティ企業としては Fortinet が分析している。そして、マルウェアとして未完成の部分が誇るが、すでに強力な能力を備えていると報告している。


GoTrim ボットネットの標的は WordPress サイト

Fortinet が発見した GoTrim マルウェア・キャンペーンは、2022年9月に始まり、現在も進行中である。

このマルウェアの運営者は、標的とする Web サイトの長いリストと一連の認証情報を、ボットネット・ネットワークに供給する。その後に、このマルウェアは各サイトに接続し、入力された認証情報を用いて、管理者アカウントに対するブルートフォースを試みる。

それに成功すると、GoTrim は侵害したサイトにログインし、新たに生成された MD5 ハッシュ型の Bot ID を含む、新しい感染情報を Command and Control (C2) に報告する。続いて、このマルウェアは PHP スクリプトを用いて、ハードコードされた URL から GoTrim ボット・クライアントを取得する。この時点で、スクリプトとブルートフォースのコンポーネントは不要になるため、感染したシステムから削除される。

このボットネットは、2つのモードである “クライアント” および “サーバ” として動作する。 このマルウエアのクライアント・モードでは、ボットネットの C2 接続を開始し、サーバ・モードでは、HTTP サーバーを起動し、C2 からのリクエストの着信を待ち受ける。

GoTrim botnet attack chain
GoTrim botnet attack chain (Fortinet)

侵入されたエンドポイントが、インターネットにダイレクトに接続されている場合には、GoTrim はデフォルトでサーバ・モードになる。GoTrim は。数分ごとに C2 にビーコン・リクエストを送信し、100回再試行しても応答がない場合には終了する。

C2 は、暗号化されたコマンドを GoTrim ボットに送信することが可能であり、以下のような機能をサポートしている。

  • WordPress のドメインに対して提供された認証情報の検証
  • Joomla!ドメインに対して提供された認証情報の検証 (未実装)
  • OpenCart ドメインに対する提供された認証情報の検証
  • Data Life Engine のドメインに対して提供された認証情報の検証 (未実装)
  • ドメイン上の WordPress/Joomla!/OpenCart/Data Life Engine CMS のインストールの検出
  • マルウェアを終了させる
C2 response containing command payload
C2 response containing command for botnet (Fortinet)

検知の回避

WordPress セキュリティ・チームによる検出を回避するため、GoTrim はWordpress.com でホストされているサイトを標的にせず、セルフ・ホスティングのサイトのみを標的にしている。具体的に言うと、”wordpress.com” の ‘Referer’ HTTP ヘッダーをチェックし、それが検出された場合には、アクティビティを停止し、標的から除外する。

研究者たちは、「wordpress.com のようなマネージド WordPress ホスティング・プロバイダーは、セルフ・ホスティングの WordPress Web サイトを比べて、ブルートフォースの試みを監視/検出/ブロックするセキュリティ対策を実施している。したがって、成功の可能性と、発見されるリスクが見合わない」と説明している。さらに GoTrim は、64 Bit Windows のリクエストにおいて正規の Firefox を模倣することで、アンチボット・プロテクションを迂回する。

最終的に、標的となる WordPress サイトがボットを阻止するために、CAPTCHA プラグインを使用している場合には、それをマルウェアは検出し、対応するソルバーをロードする。現時点において、7種類の一般的なプラグインをサポートしている。

Fortinet は、GoTrim ボットネットが 1gb.ru でホストされているサイトを避けていると述べているが、その理由は特定できていない。GoTrim の脅威を軽減するために、WordPress サイトの所有者は、管理者アカウントに強力なパスワードを使用し、2FA プラグインを使用し、ブルートフォースを困難にする必要がある。

WordPress の管理者は、サイトの基本 CMS ソフトウェアと、すべてのアクティブなプラグインを、利用可能な最新バージョンにアップグレードし、ハッカーが最初の侵害に利用する既知の脆弱性に対処する必要がある。

なにかと標的にされやすい WordPress サイトですが、GoTrim ボットネットがブルートフォース攻撃を仕掛けているようなので、ご用心ください。実は、このブログも WordPress なのですが、安全性を優先して wordpress.com で運用し、もちろん 2FA も利用しています。ブルートフォースに関しては、ちょっと畑違いかもしれませんが、11月17日に「RDP ブルートフォース攻撃で狙われる最弱パスワード:Top-10 をリストアップ」という記事をポストしています。よろしければ、WordPress で検索も、ご利用ください。

%d bloggers like this: