Sucuriは3月1日(米国時間)、「New Wave of SocGholish Infections Impersonates WordPress Plugins」において、WordPressサイトを侵害してマルウェア「SocGholish」を配布する新しいキャンペーンを特定したと伝えた。このキャンペーンではWordPressの管理者アカウントを侵害し、悪意あるプラグインをインストールすることでマルウェアの配布サイトに改ざんするという。
マルウェア「SocGholish」の特徴
マルウェア「SocGholish」は別名「偽のブラウザ配信」と呼ばれており、侵害したWebサイトからブラウザアップデートを装って配布される。マルウェアの種別は遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)とされ、少なくとも2017年からJavaScriptフレームワークを使用して配布されていることが確認されている。
従来のキャンペーンでは、管理者アカウントを侵害するとデータベースのwp_postmetaテーブルを変更し、悪意のある「script」タグを挿入するなどしてWebページを改ざんする。今回確認されたキャンペーンはこの動きはとらず、偽のWordPressプラグインをインストールしてWebサイトを改ざんする。Sucuriの調査では、「Woo Title Limit」「Performance Lab」「Flexible SSL for CloudFlare」を改造した偽のプラグインが確認されている。
対策
マルウェア「SocGholish」の配布は侵害の第1段階とされる。脅威アクターはSocGholishを侵入ポイントとして活用し、最終的にランサムウェアを展開するという。Sucuriはこのような攻撃を回避するために、WordPressサイトの管理者に次のような対策を推奨している。
- WordPress本体、プラグイン、テーマおよびWebサイトにインストールされているすべてのソフトウェアを最新の状態に保つ
- 可能な限り自動更新を有効にする
- 定期的にイミュータブルバックアップを取得する
- すべての資格情報に一意で強力なパスワードを設定する
- 可能であればWebアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する
このキャンペーンによりWordPressサイトが侵害されたとしても、サーバ自体はマルウェアの配布に悪用されるためランサムウェアの被害にあう可能性は低い。しかしながら、Webサイトにアクセスしたユーザーへの攻撃を手助けすることになり、サイトの信頼性は著しく低下する。このような被害を避けるため、上記の対策に加え侵入ポイントとなるログインページおよび管理者の認証情報を適切に管理することが推奨されている。
また、すべてのインターネットユーザーに対し、ブラウザアップデートを正規サイト以外からダウンロードしないことが推奨されている。ソフトウェアをダウンロードするときはアクセスしているURLを必ず確認し、不審なサイトからダウンロードしないように注意することが望まれている。