Sucuriは6月27日(米国時間)、「Stealthy WordPress Malware Drops Windows Trojan via PHP Backdoor」において、秘密裏にマルウェアを配布する侵害されたWordPressサイトを発見したと報じた。

これらWebサイトにアクセスすると、強制的にマルウェアローダーをダウンロードすることになるとして注意を呼びかけている。

  • Stealthy WordPress Malware Drops Windows Trojan via PHP Backdoor

    Stealthy WordPress Malware Drops Windows Trojan via PHP Backdoor

侵害経路

Sucuriの調査によると、脅威アクターは侵害したWordPresssサイトに「header.php」および「man.php」を設置したという。前者はマルウェアローダーの配布を担当し、後者は脅威アクター向けの管理インタフェースを提供するとされる。

WordPressサイトにユーザーが訪れ、header.phpがロードされると訪問者のIPアドレスを取得して「count.txt」に含まれているかどうかが確認される。含まれる場合は攻撃を中止(重複攻撃を回避)し、含まれていない場合はcount.txtに記録して攻撃を続行する。

次に、被害者用にカスタマイズしたマルウェアローダー「update.bat」を生成して、強制的にダウンロードさせる。被害者がupdate.batの存在に気づき、実行すると最終的にマルウェア「client32.exe」に感染する。

Sucuriはclient32.exeの詳細な分析を行っておらず、マルウェアの名称は明らかになっていないが、その動作から遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の一種とみられている。なお、このマルウェアには永続性があり、システム起動時に自動実行されるという。

対策

Sucuriは同様の攻撃を回避するために、WordPressサイトの管理者に対し、次の対策を推奨している。

  • WebアプリケーションおよびWebサーバに定期的なマルウェアスキャンを実施する
  • Webアプリケーションファイアウォール(WAF: Web Application Firewall)を導入して不審な接続およびリクエストをブロックする
  • すべてのCMS(Content Management System)、プラグイン、テーマ、サーバーソフトウェアを最新の状態に保つ
  • 強力なアクセス制限、安全なファイル権限の設定(最小権限の原則)、サーバセキュリティのベストプラクティスを実践する
  • 検出、封じ込め、復旧手順をまとめたインシデント対応計画を策定する

インターネットユーザーに向けては、次の対策を推奨している。

  • 予期しない実行可能ファイル(.bat、.exeなど)のダウンロードに注意する
  • アンチウイルスソフトウェアなどのセキュリティソリューションを導入して最新の状態に保つ
  • オペレーティングシステムおよびすべてのアプリケーションのアップデートを適用する
  • ユーザーアカウント制御(UAC: User Account Control)を無効にしない
  • ソーシャルエンジニアリング攻撃について理解し、警戒を続ける

この攻撃では侵害されたWordPressサイトにアクセスしただけで、自動的にマルウェアローダーがダウンロードされる。実行せずに削除すれば攻撃を回避できるとみられるが、操作ミスや「update.bat」というファイル名に惹かれて実行してしまうとマルウェアに感染する可能性がある。

WordPressサイトを運営している管理者には、この攻撃特有のファイル「header.php」、「man.php」、「count.txt」などの存在を確認することが推奨される。もしもこれらファイルが存在し、侵害が疑われる場合はネットワーク接続の切断、フォレンジック調査の実施、関係機関への届け出、悪意のあるファイルの削除、侵入経路の修復、訪問者への警告などを行う必要がある。