新しいマルウェアキャンペーンが5,000以上のWordPressサイトに侵入し、管理者アカウントを作成し、悪意のあるプラグインをインストールし、データを盗んでいます。
ウェブスクリプト・セキュリティ企業であるc/sideの研究者は、あるクライアントのインシデント対応業務中に、悪意のある活動がデータの流出にwp3[.]xyzドメインを使用していることを発見しましたが、最初の感染経路はまだ特定されていません。
ターゲットを侵害した後、wp3[.]xyzドメインからロードされた悪意のあるスクリプトは、コード内で利用可能な認証情報を使用して、不正な管理者アカウントwpx_adminを作成します。
Source: c/side
このスクリプトは次に、同じドメインからダウンロードした悪意のあるプラグイン(plugin.php)をインストールし、侵害されたウェブサイトで有効にします。
c/cideによると、このプラグインの目的は、管理者認証情報やログなどの機密データを収集し、画像リクエストに見えるように難読化して攻撃者のサーバーに送信することだという。
また、この攻撃には、不正な管理者アカウントの作成後の操作状況のロギングや、悪意のあるプラグインのインストールの検証など、いくつかの検証ステップが含まれます。
攻撃のブロック
c/sideは、ウェブサイトの所有者がファイアウォールやセキュリティツールを使用して’wp3[.]xyz’ドメインをブロックすることを推奨しています。
さらに、管理者は他の特権アカウントとインストールされているプラグインのリストを確認し、不正な活動を特定し、できるだけ早く削除する必要があります。
最後に、ユニークなトークンの生成、サーバーサイドでの検証、定期的な再生成によって、WordPressサイトのCSRF保護を強化することが推奨される。トークンは、有効期間を制限するために短い有効期限を持つべきである。
また、多要素認証を導入することで、すでに漏洩した認証情報を持つアカウントの保護も強化される。
Comments