大規模なサイバー攻撃により、ハーバード大学やオックスフォード大学などの名門大学のポータルを含む、Ghost CMSを運営する700以上のWebサイトが侵害されました。
2026年5月7日にXLabのセキュリティ研究者によって発見されたこのキャンペーンは、重大な脆弱性を悪用して悪意あるJavaScriptを注入するものです。
このコードは、訪問者をだまして事実上検出不可能なインフォスティーラーをインストールさせる、巧妙な「ClickFix」ソーシャルエンジニアリング攻撃を実行します。
脅威アクターはパッチが適用されていないGhost CMSインスタンスを積極的にスキャンし、 管理者APIキーを無断で窃取 しています。これらのキーを入手した攻撃者は、Ghost Admin APIを使用して、公開済み記事の末尾に悪意あるスクリプトをひそかに追加します。
驚くべきことに、XLabの研究者は少なくとも2つの競合するハッキンググループが同一の脆弱なWebサイトの支配権をめぐって争い、互いの悪意あるペイロードを次々と上書きしていることを確認しました。
感染プロセスは、従来のブラウザ脆弱性ではなく、ソーシャルエンジニアリングに大きく依存しています。ユーザーが侵害されたGhostのWebサイトを訪問すると、注入されたスクリプトが非常に巧妙に作られた偽のCloudflareセキュリティページへリダイレクトします。
この不正な「あなたが人間であることを確認してください」というプロンプトは、被害者を危険な手順へと誘導します。
ユーザーがこれらの手順に従うと、知らないうちに 隠されたPowerShellコマンドが実行されます。このコマンドはZIPアーカイブ(update.zipやNotepadPlusPlus.zipなどに偽装されることが多い)をダウンロードし、インストーラーDLLを展開してバックグラウンドでひそかに実行します。
最終的なペイロードはUtilifySetup.exeであり、VirusTotalで検出ゼロの悪意あるElectronアプリケーションです。
このトロイの木馬はホストマシンに永続的に潜伏し、リモートのコマンド&コントロールサーバーに継続的にポーリングを行い、攻撃者が任意のコードを実行したり機密データを窃取したりすることを可能にします。
検出を回避するために、攻撃者は巧妙なクローキングサービスを使用しています。悪意あるペイロードはブラウザのフィンガープリントに基づいて本物の被害者にのみ発動します。一方、セキュリティスキャナーや研究者には無害なWebページが表示されます。
攻撃が激化し複数の脅威グループが関与している中、サイト管理者はインフラを保護するために直ちに行動する必要があります。
Webサイトのエディタから悪意あるスクリプトを削除するだけでは不十分です。攻撃者は窃取したAPIキーを通じて永続的なバックドアアクセスを維持しているためです。
SQLインジェクションの欠陥を修正するため、Ghost CMSを最新のパッチ済みバージョンに直ちにアップグレードしてください。管理者APIキー、コンテンツAPIキー、管理者パスワードを含むすべての認証情報をローテーションしてください。
データベースを監査して全投稿から不審な<script>タグを削除することで、注入されたコンテンツをクリーンアップしてください。不明なIPアドレスからの不審なPUT /ghost/api/admin/posts/:id/リクエストのアクセスログを監査してください。
注意: IPアドレスとドメインは、偶発的な解決やハイパーリンクを防ぐために意図的に無害化されています(例:[.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://cyberpress.org/ghost-cms-flaw-abused/
