WordPress サイト 100万件を侵害：Balada Injector による大規模マルウェア・キャンペーン

Over 1 Million WordPress Sites Infected by Balada Injector Malware Campaign

2023/04/10 TheHackerNews — Balada Injector というマルウェアを展開する継続的なキャンペーンにより、2017年以降で 100万以上の WordPress サイトが感染したと推定される。GoDaddy の Sucuri によると、WordPressサイトを侵害する、この大規模キャンペーンでは、テーマとプラグインに存在する、ありとあらゆる脆弱性が悪用されているようだ。この攻撃は、数週間に一度のペースで、波状的に展開されると認識されている。

セキュリティ研究者である Denis Sinegubko は、「このキャンペーンは、String.fromCharCode による難読化、および、ランダムなサブドメインに悪意のあるスクリプトをホストする新規ドメイン名の使用、各種の詐欺サイトへのリダイレクトにより、容易に識別できる」と述べている。

この種の悪意のサイトで待ち伏せしているのは、偽の技術サポート／不正な宝くじ当選／不正な CAPTCHA ページなどであり、ボットではないことをユーザーが確認する通知をオンにするように促し、それによりスパム広告を送信できるようにしている。

このレポートは、先日に Doctor Web が発表した、20種類以上のプラグインやテーマの欠陥を悪用して、脆弱な WordPress サイトを侵害する Linux マルウェア・ファミリーの詳細な調査結果を基に作成されている。

それ以降においても Balada Injector は、100以上のドメインと、既知のセキュリティ上の欠陥 (HTMLインジェクションやサイト URL など) を悪用しながら依存しており、”wp-config.php” ファイル内のデータベース認証情報を、攻撃者たちは取得しようと試みている。

さらに攻撃者たちは、バックアップ／データベースダンプ／ログ／エラーなどのサイト・ファイルを不正に操作し、サイト管理者がメンテナンス作業を完了した際に残した可能性のある、”adminer” や “phpmyadmin” などのツールを検索するように仕組まれている。

このマルウェアは、最終的に偽の WordPress 管理者ユーザーを生成し、基盤となるホストに保存されているデータを採取し、永続的なアクセスのためのバックドアを残すことになる。

さらに Balada Injector は、侵害した Web サイトのファイル・システムに関連する、トップレベルのディレクトリから、他の Web サイトに属するディレクトリへと移行し、攻撃範囲を拡大していく。

Sinegubko は、「これらのサイトは、侵害されたサイトの Web マスターに属しており、同じサーバ・アカウントと同じファイル・パーミッションを共有していることが大半である。このように、１つのサイトを侵害するだけで、他のサイトに対しても容易にアクセスできるようになる可能性がある」と述べている。

上記のような攻撃経路が利用できないと判明した場合には、あらかじめ定義された 74 種類の認証情報のセットを用いて、管理者パスワードへのブルートフォース攻撃が行われる。したがって WordPress ユーザーは、Web サイトのソフトウェアを最新の状態に保ち、不使用のプラグインやテーマを削除し、強力な WordPress 管理パスワードを使用することが推奨される。

先日には、Palo Alto Networks Unit 42 が、Web サイトへの訪問者をアドウェアや詐欺のページにリダイレクトさせるという、同様の悪質な JavaScript インジェクションキャンペーンを検出／報告している。2022年以降において、51,000 以上の Web サイトが影響を受けているという。

このアクティビティにおいても、難読化技術として String.fromCharCode が採用され、偽の CAPTCHA チェックを装うことで詐欺コンテンツを提供し、プッシュ通知を有効にするよう騙すための、ブービートラップ・ページへと被害者を誘導する。

Unit 42 の研究者たちは、「キャンペーンの運営者が使用した共通の戦術には、侵害した Web サイトのホームページに含まれている可能性が高い、頻繁に使用される JavaScript ファイル (例：jQuery) に悪意のコードを注入することだった。注入された悪意の JavaScript コードは、検出された Web サイトの半分以上のホームページに忍び込んでいた。 つまり、攻撃者が Web サイトの正規ユーザーをターゲットにする際に、ホームページがアクセスされる可能性が高いためである」と述べている。

Balada Injector というマルウェアは、このブログでは初登場です。WordPress のテーマとプラグインに存在する、あらゆる脆弱性を悪用するということで、とても怖いですね。高機能で格好の良い WordPress サイトは憧れですが、この種のバグをさけるために、wordpress.com 内の何も足さないサイトで、ずっと我慢の日が続きます。

2023/03/31：Elementor Pro プラグインに深刻な脆弱性
2023/03/24：WooCommerce 決済プラグインの深刻な脆弱性
2023/02/14：AdSense 上の大規模な不正キャンペーン
2023/01/25：WordPress サイト 4,500 以上でハッキングが発生