侵害されたWordPressサイトが、トラフィックフィルタリングシステムとブロックチェーンを利用したペイロード配信を組み合わせ、Windowsの訪問者にClickFix誘導を仕掛けました。その結果、GULoaderによる感染が試みられましたが、エンドポイント保護によって300300ミリ秒未満でブロックされました。
この侵害は2つの情報源によって確認されました。感染サイトのANY.RUNサンドボックスでの実行解析と、企業のWindowsシステムから取得した実際のエンドポイントテレメトリです。
この2つを組み合わせることで、攻撃チェーンの全貌が明らかになりました。ユーザーが正規の中小企業サイトを開いた時点から、GULoader配信に関連するrundll32.exeの実行がブロックされるまでの一連の流れです。
悪用されたサイトは偽ドメインやフィッシングページではありませんでした。実在する中小企業のWordPress・WooCommerceサイトであり、ErrTraffic型のバックドアによって侵害されたとみられています。
調査によると、攻撃者は商品ページ・問い合わせフォーム・地図・アクセス解析といったサイトの通常コンテンツをそのまま保持しながら、公開ページに悪意のあるJavaScriptを密かに埋め込んでいました。
JavaScriptは2段階で動作しました。まず、ブラウザの種類・OS・画面サイズ・リファラ・IPに関するメタデータなど、訪問者の詳細情報を収集します。
収集した情報は、攻撃者が管理するトラフィック誘導システム(TDS)のインフラへ送信されました。TDSはその情報をもとに、該当訪問者に次の段階のペイロードを配信するかどうかを判断します。
このフィルタリングは重要な役割を果たしていました。悪意のあるコンテンツはデスクトップのWindowsユーザーにのみ表示されていたとされています。
モバイル訪問者・検索クローラー・多くの解析ツールからは、正常なサイトとして表示されていたとみられます。これにより侵害の発見が困難になり、攻撃者は広範な露出を回避できました。
ページ読み込みから約2秒後、埋め込まれたスクリプトは公開RPCインフラを通じてBNB Smart Chain Testnetに接続しました。
これはEtherHidingと呼ばれる手法の一部で、攻撃者は従来のサーバーではなくブロックチェーンのスマートコントラクトに悪意のあるコードを格納します。
ブロックチェーンのデータは公開されており、耐障害性が高く削除が困難なため、攻撃者にとって検知されにくい配信レイヤーとして機能します。
テレメトリには、bsc−testnet[.]drpc[.]orgbsc−testnet[.]drpc[.]orgへのリクエストと、フォールバックノードdata−seed−prebsc−1−s1[.]bnbchain[.]orgdata−seed−prebsc−1−s1[.]bnbchain[.]orgへの通信が記録されていました。
サンドボックス環境では、SuricataがこのアクティビティをEtherHiding関連としてフラグを立てました。エンドポイントでも、DNSとネットワーク記録が同じ攻撃チェーンを裏付けています。さらにYandex Metrikaへのトラフィックも確認されており、攻撃者が被害者の操作を追跡していたとみられます。
ペイロードを取得した後、サイトには偽のreCAPTCHA風プロンプトが表示されました。これがClickFix手順の段階です。
ページは被害者にWin+RRキーを押してコマンドを貼り付け、Enterキーを押すよう指示しました。sicuranextによると、その時点で悪意のあるJavaScriptはすでにクリップボードにコマンドを仕込んでいたとのことです(sicuranext)。
被害者は後に、そのプロンプトを標準的なCAPTCHAだと思い込み、指示どおりに操作したことを認めました。
貼り付けられたコマンドは、リモートUNCパスと序数ベースのエクスポート呼び出しを使用してrundll32.exerundll32.exeを起動しました。この手法はWindowsの正規の動作に溶け込むよう設計されています。
rundll32.exerundll32.exeはMicrosoftの署名済みバイナリであるため、レピュテーションチェックやホワイトリストチェックを通過することが多くあります。またリモートパスを使用することでペイロードをディスクに書き込む必要がなくなり、ファイルベースのウイルス対策による検出リスクも低減させました。
翻訳元: https://cyberpress.org/wordpress-site-spreads-guloader/
