WP サイトの 20 以上の CMS の欠陥を悪用する新しい Linux マルウェア

公開: 2023-02-06

Linux プラットフォーム上で動作する Web サイトの WordPress テーマおよびプラグイン内のセキュリティ脆弱性を悪用する新しい Linux マルウェアが出現しました。 Javascript を実行して Web サイトのソース コードを標的とするマルウェアは、サイバー犯罪者が DDoS 攻撃を開始したり、機密データにアクセスしたり、ユーザーを悪意のある Web サイトにリダイレクトしたりするのに役立ちます。

この記事では、この新しい Linux マルウェアの包括的な概要を提供し、その仕組み、悪用される可能性のある CMS の欠陥、およびそのような攻撃を防ぐために何ができるかについて説明します。

Linux マルウェア攻撃とは?

今日のクラウド環境の多くは、Linux オペレーティング システムに基づいています。 このため、Linux を使用する Web ホストを直接狙ったサイバー攻撃が増加しています。 Linux 環境への侵入に成功したサイバー犯罪者は、さまざまな機密データにアクセスし、マルウェアを実行し、IT インフラストラクチャに長期的な損害を与える可能性があります。

新しい Linux マルウェアが見つかりました
Linux マルウェアの警告

2020 年以降、トロイの木馬ウイルスとランサムウェアは、Linux ベースのマルウェア攻撃の最も一般的な形態となっています。

最新の WordPress CMS の欠陥などの脆弱性により、ネットワークが侵害されています。 その他の脆弱性には、ネットワークでの認証の欠如やサーバーの構成ミスが含まれます。 残念ながら、このような攻撃は近年かなり成功しており、より巧妙かつ多様になってきており、サイバーセキュリティ チームの頭痛の種となっています。

Linux マルウェア攻撃の種類

攻撃者がマルウェア攻撃を実行する方法は多数あります。 以下は、最も一般的なタイプの一部です。

VM イメージを標的とするマルウェア

マルウェアは常に改善されており、熟練したサイバー犯罪者による巧妙に考え抜かれた攻撃の標的となる新しい脆弱性が発見されています。 そのような攻撃の 1 つは、ワークロードの処理に使用される仮想マシン (VM) イメージを標的にすることです。

そうすることで、攻撃者はクラウドでホストされている貴重なリソースにアクセスできるようになり、大混乱を引き起こすことができます。

クリプトジャッキング

クリプトジャッキングは、被害者の IT リソースを使用して暗号通貨を生成することで、サイバー犯罪者にとって非常に有利になる可能性があります。 テスラなどのグローバル企業でさえ、このような攻撃の犠牲になっています。

クリプトジャッキング マルウェアは、高度なセキュリティを欠くシステムを悪用し、ハッカーがシステムを乗っ取り、被害者を犠牲にして暗号をマイニングできるようにします。

ファイルレス Linux 攻撃

ハッカーは、オープンソースの Golang で作成された Ezuri ツールを使用して、マルウェアを暗号化し、侵害されたネットワークで復号化し、システム ディスクに痕跡を残さないようにすることができます。 これにより、マルウェアはウイルス対策ソフトウェアをバイパスできます。

サイバー犯罪グループの TeamTNT は、この手法をよく使用します。 大規模な組織の場合、これは重大な結果をもたらし、コンプライアンス規制に違反する可能性があります。 このような攻撃に対する保護は、PCI コンプライアンスを確保し、他の規制ガイドラインを順守する上で大いに役立ちます。

PCI コンプライアンスの説明
PCI コンプライアンスについて説明します

国家が支援するマルウェア

国家グループは Linux 環境への攻撃を強化しており、これは特にロシアとウクライナの戦争で明らかです。 これらのマルウェア攻撃の主な目的は、通信を妨害してデータを破壊することです。

WP Web サイトが新しい Linux マルウェアの標的にされる仕組み

これまでサイバーセキュリティの専門家には知られていなかった新しい Linux マルウェアの亜種が、WordPress Web サイト、より正確には 20 を超えるプラグインとテーマを標的にしています。

ロシアのセキュリティ ベンダーである Doctor Web は、この新しい脅威を分析し、潜在的な脆弱性を浮き彫りにしました。 Doctor Web の担当者は最近のレポートで次のように述べています。 その結果、ユーザーが攻撃されたページの任意の領域をクリックすると、他のサイトにリダイレクトされます。」

この攻撃は、脆弱なプラグインとテーマを含む特定の Web サイトを標的にして、マルウェアを展開します。 これにより、サイバー犯罪者がリモート アクセスできる Web サイトのネットワーク (ボットネット) を作成し、さまざまな活動を実行できるようになります。 また、JavaScript は、リモート サーバーによって取得されたシステムに挿入され、侵害された Web サイトにアクセスするユーザーをリダイレクトし、悪意のある Web サイトに送信することもできます。

別のバックドア バージョンの攻撃では、20 以上の WordPress CMS の欠陥を標的にするだけでなく、これまで知られていなかったコマンド アンド コントロール (C2) ドメインが関与していました。

いずれの場合も、攻撃者は力ずくの方法を使用して、WordPress の管理者アカウントに侵入します。 Doctor Web は、「このようなオプションがバックドアの新しいバージョンに実装されている場合、サイバー犯罪者は、脆弱性にパッチが適用された現在のプラグイン バージョンを使用している Web サイトの一部を攻撃することさえ可能になるでしょう」と付け加えました。

悪用された 20 以上の CMS の欠陥

Linux マルウェアが悪用した脆弱なテーマとプラグインのリストは次のとおりです。

  • ブログデザイナー (< 1.8.12)
  • ブリジー
  • 近日公開 & メンテナンス モード (<= 5.1.0)
  • デラックSEO
  • 簡単WP SMTP (1.3.9)
  • FV Flowplayer ビデオ プレーヤー
  • ハイブリッド
  • ZotaboxによるMessengerカスタマーチャットによるライブチャット (< 1.4.9)
  • ND ショートコード (<= 5.8)
  • 新聞 (CVE-2016-10972、6.4 – 6.7.1)
  • ワントーン
  • OpinionStage による投票、アンケート、フォーム、およびクイズ メーカー
  • カスタム テンプレート ライトの投稿 (< 1.7)
  • リッチレビュー
  • 単純なフィールド
  • Smart Google Code Inserter (2022 年 1 月 28 日に廃止、< 3.5)
  • ソーシャルメトリクストラッカー
  • ティム・コア
  • 寄付の合計 (<= 2.0.5)
  • ウーコマース
  • WordPress Ultimate FAQ (CVE-2019-17232 および CVE-2019-17233、1.24.2)
  • WPeMatico RSS フィード フェッチャー、および
  • WP GDPR コンプライアンス (1.4.2)
  • WP ライブチャット (8.0.27)
  • WP ライブチャット サポート
  • WP-Piwik 統合 (WP-Piwik)
  • WP クイック予約マネージャー
  • イエロー ペンシル ビジュアル CSS スタイル エディター (< 7.2.0)
  • 雄三関連記事 (5.12.89)

以前の WordPress マルウェア攻撃

脅威インテリジェンスおよび研究組織である Fortinet FortiGuard Labs は、GoTrim として知られる別のボットネット (侵害されたインターネット接続デバイスのグループ) を明らかにしました。 このネットワークは、WordPress CMS を使用する自己ホスト型 Web サイトでブルート フォース技術を使用して作成され、システムを完全に制御できます。

GoDaddy が所有する Web サイトのセキュリティおよび保護プラットフォームである Sucuri は、2022 年末に 15,000 を超える侵害された WordPress Web サイトを特定しました。これは、Web サイトの訪問者をサイバー犯罪者が管理する Q&A ポータルにリダイレクトすることを目的とした全体的なマルウェア キャンペーンの一部でした。 2023 年 1 月の時点で、これらの Web サイトのうち 9,000 以上が依然として感染していました。

2022 年の夏、Sucuri は、JavaScript ベースのマルウェアを使用して WordPress Web サイトを標的にした「Parrot」と呼ばれるトラフィック ディレクション システム (TDS) の詳細を示すレポートもリリースしました。

Linux マルウェア攻撃を防ぐ方法

このような攻撃を防ぐために、すべての WordPress ユーザーは、サードパーティのプラグインやテーマを含む、Web サイトのすべてのコンポーネントを更新することをお勧めします. ベスト プラクティスとして、ユーザーは強力なパスワードと各ユーザーに固有のログイン情報を使用して、セキュリティを強化する必要があります。

Web サイトの所有者は、定期的に更新されるプレミアム セキュリティ プラグインをインストールすることをお勧めしますが、定期的にデータをバックアップして、ランサムウェア攻撃の被害者になる可能性を減らす必要もあります。

まとめ

この新たに特定された攻撃は、Linux 環境でホストされている 20 を超える WordPress プラグインとテーマを標的としており、サイバー犯罪者がマルウェアを実行できるようにしています。 これらの攻撃の多くは、Web サイトの訪問者を偽の Web サイトにリダイレクトすることを含みますが、ハッカーがさまざまな犯罪に使用できるボットネットの開発を支援するものもあります。

WordPress ユーザーは、すべてのプラグインとテーマを最新の状態に保ち、強力なログイン資格情報を使用することで、このような攻撃を防ぐことができます. マルウェア攻撃の被害に遭った Web サイトの大半は、保守が不十分で、最小限のセキュリティがインストールされており、脆弱なパスワードを使用しています。