Sucuriは3月5日(米国時間)、「From Web3 Drainer to Distributed WordPress Brute Force Attack」において、WordPressサイトを標的としてブルートフォース攻撃を実行するスクリプトを発見したと伝えた。このスクリプトは侵害されたWebサイトに挿入され、アクセスしたユーザーのブラウザから実行されるという。
分散型ブルートフォース攻撃を引き起こすスクリプト
Sucuriはこれまで暗号資産を標的とした「暗号資産ドレイナー」と呼ばれる攻撃について追跡調査を行っていた。暗号資産ドレイナーはWebサイト上にJavaScriptとして埋め込まれており、被害者がウォレットに接続した際に暗号資産をすべて窃取する。今回Sucuriはこの調査の過程でブルートフォース攻撃を実行して認証情報を窃取するJavaScriptを発見し、その分析結果を解説している。
発見されたスクリプトは難読化されておらず、解析は容易だったとされる。仕組みも比較的単純で、脅威アクターの管理するサーバから攻撃に必要な次の情報を取得し、その結果をサーバに返す。
- タスクID
- 標的のWordPressサイトのURL
- WordPressユーザー名
- パスワードセットの番号
- 100個のパスワードセット
Sucuriの調査によると、試行されるパスワードは最大で418セット(41,800個のパスワード)で、いずれも過去に漏洩した既知のパスワードとされる。また、攻撃に使用されるユーザー名は標的のWebサイトの投稿から確認できるものが使用される。なお、この攻撃は認証に成功したとしても結果を送信した後、別のサイトやユーザー名を使用して攻撃が継続される。
影響と対策
Sucuriはこの攻撃で送信されるデータを分析している。その結果、数千のドメインに対する数十万の攻撃を確認し、そのうち1件(0.02%未満)だけ認証に成功した可能性があるという。いずれの攻撃も脅威アクターの管理するブラウザからではなく、Webサイトにアクセスした一般ユーザーのブラウザから実行されている。
なお、この攻撃ではユーザーエージェントとして次の2つの文字列の使用が確認されている。後者はスクリプトによる攻撃ではなく、認証成功の自動検証システムに利用されたものと推測されている。
- Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3
- python-requests/2.25.1
Sucuriはこのような攻撃を回避するために、WordPressサイトを運営している管理者に対し、強力なパスワードの使用と管理ツールへのアクセス制限を実施するように推奨している。
また、Webサイトが侵害されて攻撃に悪用されているかを確認する方法として、「wp-content/uploads/」ディレクトリおよびそのサブディレクトリから「ActiveLamezh」を含むテキストファイルを検索する方法を提示している。