Sucuriはこのほど、「Balada Injector: Synopsis of a Massive Ongoing WordPress Malware Campaign」において、WordPressサイトを標的とした大規模なサイバー攻撃のキャンペーンが展開されていると伝えた。2017年より続いている長期的なキャンペーンとされ、100万を超えるWordPress Webサイトが「Balada Injector」と呼ばれるマルウェアに感染したと推定されている。

  • Balada Injector: Synopsis of a Massive Ongoing WordPress Malware Campaign

    Balada Injector: Synopsis of a Massive Ongoing WordPress Malware Campaign

あらゆるテーマやプラグインの脆弱性をすべて悪用する、進行中の大規模なWordPressサイトを狙うサイバー攻撃のキャンペーンが報告された。このキャンペーンでは、String.fromCharCodeによる難読化を好むこと、ランダムなサブドメインで悪意のあるスクリプトをホストする登録したてのドメイン名を使用することが知られている。また偽の技術サポートや不正な宝くじ当選、不正なCAPTCHAページが感染したWordPressサイトに埋め込まれ、訪問者に対しさまざまな詐欺サイトにリダイレクトさせることも判明している。

  • Typical injection and redirect destination for Balada Injector

    Typical injection and redirect destination for Balada Injector

調査により、脆弱なWordPressサイトを侵害するためにさまざまなプラグインとテーマの欠陥がBalada Injectorに悪用されていることがわかった。初期の感染ではtagDivのNewspaper/Newsmagテーマにある古いセキュリティバグが悪用されており、その後も新しく開示された脆弱性やゼロデイ脆弱性などが悪用されたことが確認されている。最近ではパッチがすでに適用されているElementor Proプラグインのセキュリティ上の欠陥が悪用されている。

このマルウェアは最終的にWordPressの偽の管理者ユーザーを生成するとともに、ホストに保存されているデータを窃取し、永続的なアクセスのためのバックドアを残すとされている。

Sucuriは、Balada InjectorからWordPressサイトを保護するための手段として、すべてのソフトウェアを最新の状態に保ち、未使用のプラグインおよびテーマを削除し、Webアプリケーションファイアウォール(WAF: Web Application Firewall)を利用することを推奨している。また、すべてのアカウントに対して協力なパスワードを設定するとともに、二要素認証(2FA: Two-Factor Authentication)を導入することも望まれている。