TokyoBlackHatNews

gbhackers.com 4分で読了

Ghost CMS脆弱性を悪用し、ClickFixマルウェアで700サイトを感染させる

ハッカーが現在、Ghost CMS(CVE-2026-26980)の重大なSQLインジェクション脆弱性を悪用してWebサイトを侵害し、大規模なページ汚染攻撃を通じてClickFixマルウェアを配布しています。

この脆弱性により、攻撃者は認証なしで機密のデータベースコンテンツを抽出できます。これにはGhost Admin APIキーが含まれます。

読み取り専用のContent APIキーとは異なり、この管理キーは投稿とサイトコンテンツに対する完全な制御を許可します。一度取得されると、攻撃者はこれを使用して大規模に記事を静かに変更し、悪意のあるJavaScriptコードを挿入して、正当なWebサイトをマルウェア配信プラットフォームに変えてしまいます。

この攻撃は、CMS侵害で始まりマルウェア実行で終わる、高度に自動化された構造化されたチェーンに従っています。

CVE-2026-26980を悪用した後、攻撃者は記事の下部に軽量なJavaScriptローダーを挿入します。このスクリプトは、攻撃者が管理するインフラストラクチャから第2段階のペイロードを動的にロードし、検出を回避するためにしばしばクローキング技術を使用します。

第2段階は、トラフィックフィルタリングとフィンガープリント機構を使用して実際のユーザーを識別します。WebGLの詳細、タイムゾーン、ユーザーの行動信号などのブラウザとシステムデータを収集し、悪意のあるコンテンツを提供するかどうかを決定します。

Image

正当なユーザーは偽のCloudflare検証ページにリダイレクトされ、セキュリティツールは無害なコンテンツを見ることができるため、キャンペーンの検出をより長く回避できます。

第3段階はClickFixスタイルのソーシャルエンジニアリングを伴います。被害者は偽のCAPTCHA検証を完了するよう促され、Windowsの実行ダイアログを使用してコマンドを実行するよう指示されます。

XLabのセキュリティ研究者は、大学、SaaSプラットフォーム、メディアアウトレット、セキュリティブログなど、業界全体の700以上のドメインがすでに影響を受けていると報告しており、パッチが適用されていないコンテンツ管理システムによってもたらされる増加するリスクを強調しています。

このコマンドはバックグラウンドでダウンロードされた悪意のあるペイロードを抽出・実行し、多くの場合、ユーザーは気付きません。この技術は、ユーザーの検証インターフェースへの信頼を悪用して、従来のセキュリティ意識を回避します。

最後の段階では、installer.dllやUtilifySetup.exeなどのマルウェアペイロードが展開されます。これらのペイロードは通常、パブリッククラウドストレージまたはCDNサービスからフェッチされ、rundll32などの正当なWindowsユーティリティを使用して実行されます。

分析によると、新しい亜種は永続性を確立し、コマンド&コントロールサーバーと通信し、任意のコードを実行します。これはデータ盗難と長期的なアクセスへのシフトを示唆しています。

Ghost CMS脆弱性

研究者は、同様の技術を活用している少なくとも2つの異なる脅威グループを観察しました。時には数日以内に同じWebサイトをターゲットにしています。

場合によっては、侵害されたサイトは異なる悪意のあるスクリプトで再感染されました。これは攻撃者間の競争を示唆しています。ハーバードやオックスフォードなどの学術機関を含む高い知名度のドメインが被害者の中に見つかりました。

Image

攻撃者はまた、インフラストラクチャを頻繁に回転させ、clo4shara[.]xyzからcom-apps[.]ccなどのドメインを切り替えて、ブロック後も操作を維持します。この適応性は、モジュール式ローダーの再利用と組み合わせると、キャンペーンの迅速なスケーリングと永続性を可能にします。

2026年2月のCVE-2026-26980の公開開示にもかかわらず、多くのGhost CMSインスタンスはパッチが適用されていないままで、大きな攻撃面を提供しています。研究者は、侵害されたAPIキーが同じ環境に接続された他のシステムへの横方向の移動を可能にし、潜在的な影響を増加させる可能性があると警告しています。

Image

セキュリティエキスパートは、パッチが適用されたGhost CMSバージョンへの即座のアップグレード、すべてのAPIキーと認証情報のローテーション、および権限のない変更についてのサイトコンテンツとログの徹底的な検査を強く勧めています。

影響を受けたWebサイトにアクセスしたユーザーは、感染プロセスが静かに発生する可能性があるため、疑わしいダウンロードまたは実行アクティビティについてシステムをチェックするよう促されています。

継続的なキャンペーンは、広く使用されるプラットフォームの単一のパッチされていない脆弱性が、特にオートメーションと効果的なソーシャルエンジニアリング技術と組み合わせて、いかに迅速にグローバルなマルウェア配布操作にエスカレートするかを示しています。

翻訳元: https://gbhackers.com/ghost-cms-vulnerability/

ソース: gbhackers.com
#ClickFixマルウェア #CMS脆弱性 #CVE-2026-26980 #Ghost CMS #SQLインジェクション #Webサイト侵害 #セキュリティ脅威 #ページ汚染攻撃 #マルウェア配布 #脆弱性対応

関連記事

Apache CXF脆弱性がシステムをLDAPインジェクション攻撃に晒す

ハッカーがSEOポイズニングを使用してGemini CLIとClaude Codeのインストーラーを偽装

ConnectWise Automateの欠陥によりハッカーはセキュリティ制御を回避できる