TokyoBlackHatNews

cyberpress.org 4分で読了

セキュリティ未設定のPHPインストールページが招いた脅威アクターのマルウェアプラットフォーム露出

稼働中のマルウェア配布プラットフォームが、あるセキュリティ研究者によってデプロイ後もPHPインストールページが公開されたままであることが発見され、意図せず外部に露出しました。これはOPSEC(作戦保全)における根本的な失敗であり、最終的に脅威アクターのバックエンドインフラへの完全な管理者アクセスを許してしまいました。

調査のきっかけはX(旧Twitter)でした。不審なドメインに関連する侵害の痕跡(IOC)が共有されているのを研究者が発見したことが始まりです。

当該ドメインは偽のソフトウェアダウンロードポータルを装っており、これはSEOポイズニングキャンペーンで広く使われる手口です。脅威アクターが検索順位を操作し、被害者をマルウェアが仕込まれたダウンロードページへ誘導するものです。

IOCを抽出した研究者はそのドメインがまだ稼働していることを確認し、ディレクトリブルートフォースツールであるffufを使ってウェブアプリケーションの列挙を開始しました。その結果、“/admin/login.php”や”/config/database.php”をはじめとする複数の機密性の高いエンドポイントが特定されました。

本番サーバー上に稼働中の/install/install.phpが存在していたことは、即座に危険なサインとなりました。デプロイ手順が不完全なまま放置された典型的なセキュリティ設定ミスであり、管理者用セットアップインターフェースがインターネット上に公開された状態になっていたのです。

研究者は露出したページを確認するだけにとどまらず、アプリケーションに再インストールを防ぐ保護機能があるかどうかを検証しました。結果は何も存在しないというものでした。DockerでホストされたMySQLインスタンスを立ち上げ、ngrokを通じて外部に公開しました。

研究者が制御されたデータベース認証情報でインストールフォームを送信したところ、アプリケーションが既に初期化済みかどうかを確認するチェックが一切なく、セットアップが完了してしまいました。

これにより研究者は新しい管理者アカウントを作成し、アプリケーションのデータベース接続を自分たちの制御下にあるインフラへ事実上リダイレクトすることができました。

初期化ロックアウト機能の欠如は、セキュリティが不十分な複数のPHPアプリケーションで見られるパターンと一致しています。場当たり的にコーディングされた、あるいは急いで組み立てられたフレームワークでは、デプロイ時の重要なハードニング手順が省略されがちです。

このPHPアプリケーションはセッション状態をデータベースではなくサーバー側に保存していたため、バックエンドの再設定によってセッションの無効化がトリガーされることはありませんでした。

完全な管理者ダッシュボードが読み込まれると、キーワード管理、訪問者追跡、ダウンロード管理、ペイロード設定を行うパネルがロシア語で表示されました。これらはいずれも、SEOポイズニングを利用したマルウェア配布オペレーションの典型的な特徴です。

バックエンドはPHP/MySQLスタックで構成されており、URLパラメータに基づいてダウンロードページを動的に生成していました。

被害者はGoogle Colabページを含む中間リダイレクターを経由させられた後、マルウェアを含む圧縮アーカイブを提供する最終的なペイロードページへと誘導される仕組みになっていました。

この多層リダイレクトチェーンは、ユーザーとセキュリティスキャナーの双方から真のホスティングインフラを隠蔽するための、広く知られた手法です。今回の事件は、脅威アクターのOPSEC失敗という広範なパターンに合致しています。

Vectra AIの調査では、2025年12月にDevmanランサムウェアグループを含む複数の脅威グループが、拙速なデプロイと不十分なハードニングによって内部インフラを外部に露出させた事例が複数記録されています。

ある事例では、北朝鮮のLazarusグループのオペレーターが、自グループ自身の展開した情報窃取マルウェアによって侵害されるという事態が発生しており、認証情報とオペレーションツールが漏洩しました。

注記: IPアドレスとドメインは、誤って解決やハイパーリンクが行われないよう、意図的に無害化(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してください。

公開時点において、当該ドメインは依然として稼働しています。脅威アクターはアクセスが取得された直後に初期化の欠陥を特定して修正しましたが、この短いアクセス可能な時間帯によって、稼働中のオペレーションの仕組みを垣間見る貴重な機会が得られました。

翻訳元: https://cyberpress.org/threat-actor-malware-platform-exposed/

ソース: cyberpress.org
#OPSEC失敗 #PHPセキュリティ #SEOポイズニング #セキュリティ研究 #セキュリティ設定ミス #ペイロード配布 #マルウェア配布 #リダイレクト攻撃 #脅威アクター #脅威インテリジェンス

関連記事

INC ランサムウェア、LOLBins・RMMツール・rclone を駆使してネットワーク侵入とデータ窃取を実行

ハッカー、「Showboat」ポストエクスプロイテーションフレームワークを中東の通信企業に使用

TorルーティングC2とローカルSOCKS5プロキシで制御される暗号資産クリッパーマルウェアの実態