脅威アクターのマルウェア・インフラが露出:原因は PHP インストールページのアンロック

Threat Actor Malware Platform Exposed via Unlocked PHP Installation Page

2026/06/15 CyberSecurityNews — PHP インストールページのミスコンフィグにより、稼働中のマルウェア配布プラットフォームの内部インフラが露出した。それにより、Potato のセキュリティ研究者は、脅威アクターのダッシュボードから管理者のアクセスを取得できる状態になった。当初は、偽のソフトウェア・ダウンロード・サイトに見えていたが、実際にはマルウェア配布に使用されるアクティブなバックエンド・システムであることが判明した。

研究者による日常的な IoC 検証と Web 列挙の中で、複数の機密性の高いディレクトリが発見された。その中には、”/install/install.php” に配置された、インストール・エンドポイントの露出も含まれていた。

稼働中の本番システム上に、このインストーラが存在することは、深刻なセキュリティ上の欠陥である。この悪意の PHP アプリケーションには、すでにインストール済みかどうかを検証する保護機能がなく、セットアップ・プロセスを再実行できる状態にあった。

X で共有された不審なドメインを分析した研究者は、取得済みの MySQL インスタンスをコンフィグし、接続情報をインストーラに渡すことで、アプリケーションを再初期化した。そのプロセスの一環として、システムは新たなデータベース・スキーマを作成した。さらに、管理者アカウントの作成を促し、結果として完全な管理者アクセスが付与された。

Discovery on X (Source: Potato.id)
Discovery on X (Source: Potato.id)
ロック解除された PHP インストールページがマルウェアを露出

当初のダッシュボードへのアクセスでは、アプリケーションと新たに構成されたデータベースの不整合により、500 Internal Server Error が発生した。しかし、脅威アクターがバックエンド構成を復旧した後に、研究者は再ログインすることなくアクセスを回復できた。

それが可能だったのは、アプリケーションがサーバ側セッション処理に依存していながら、有効なセッションを適切に無効化していなかったからである。以前に発行されたセッション・トークンが有効性を保持していたことで、管理パネルへのアクセスが可能になった。

さらなる分析により、このプラットフォームは単純なものであるが、現実に機能しているマルウェア配布システムであることが明らかになった。

Redirect to Malware site (Source: Potato.id)
Redirect to Malware site (Source: Potato.id)

このシステムは、MySQL データベースに接続された PHP ベースの管理パネルと、悪意のペイロードをホストするファイル・ストレージで構成されていた。その攻撃の手口は、URL パラメータをベースに動的なダウンロードページを生成し、多段階のリダイレクト・チェーンを用いて被害者を誘導するというものだ。

いくつかのケースでは、最終的なマルウェア・ホスティング・ドメインへと、ユーザーをリダイレクトする前に、中間サービスを使用しており、検知の回避を図っていた。

管理ダッシュボードには、ダウンロードの管理/訪問者アクティビティの追跡/キャンペーン設定の構成といった機能が含まれていた。それが示すのは、単純なフィッシング環境ではなく、構造化された運用であることだ。

Forbidden Access (Source: Potato.id)
Forbidden Access (Source: Potato.id)

このインフラは、実際に機能するものであるが、特にデプロイとセッションの管理には脆弱なセキュリティ運用が存在していた。

侵害インジケータ (IoC):
  • ドメイン:micronsoftwares[.]com、wetransfer[.]icu。
  • SHA256:7b03fb383a5ce784a3cb9b0f8a76a84e984d14e553de5d98faff3d07d9793085。

Potato は、「このインシデントが示すのは、稼働中の脅威アクターのインフラが、単純なミスコンフィグにより侵害されたことだ。インストール・スクリプトを無効化せず、適切なセッション制御を適用しなかったことで、システムへの意図しない侵入口が生じた」と述べている。

研究者は、管理者アクセスの一時的な取得に成功したが、その後、この脆弱性は運用者により修正された。この悪意のあるインフラは依然として稼働しており、マルウェアの配布を続けている。

マルウェア配布プラットフォームのインフラが、PHP インストール・ページのアンロックにより露出しました。今回の問題の背景にあるのは、脅威アクターが構築した PHP アプリケーションにおいて、本番環境のインストールページが誰でもアクセスできる状態のまま放置されていたという初歩的な設定ミスです。この不備を突いたセキュリティ研究者が、セットアップ・プロセスを再実行し、不正なデータベース接続やセッション管理などを介して管理者権限を奪いました。システムを安全に公開するための対応策としては、初期設定の完了後に、不要なインストールスクリプトを確実に削除/無効化することで、公開ディレクトリのアクセス権限を厳格に制限することが大切になります。