国際法執行機関が、マルウェアに感染した約1万5,000件のWordPressサイトを浄化するとともに、SocGholishボットネットおよびロシアのサイバー犯罪グループ「Evil Corp」に関連する100台以上のサーバーを停止させました。
EuropolおよびEurojustが支援するこの共同作戦は、オペレーション・エンドゲームの一環として実施されました。同作戦はサイバー犯罪の撲滅を目的とした大規模な法執行活動であり、今回はEvil Corpに連なる主要な感染経路の遮断を目標としています。
オランダ(NHCTU)、カナダ(RCMP)、米国(FBI)、ドイツ(BKA)の当局は、侵害された14,971件のWordPressサイトからSocGholishマルウェアの感染を除去し、106台のサーバーとドメインをオフラインにしました。
感染サイトからマルウェアとバックドアを除去したオランダ警察は、サイト管理者に対して認証情報の変更、多要素認証の有効化、不審なWordPressアカウントの削除、WordPressの最新バージョンへのアップデートも併せて呼びかけています。
「今回の措置により、サイバー犯罪者が感染したコンピューターシステムへアクセスする手段を奪うことができます。これにより、世界中の市民・企業・組織のデジタルシステムへのさらなる被害を防ぎ、マルウェアの拡散を抑制することができます」と、オランダ国家ハイテク犯罪対策ユニット(NHCTU)のマイケル・ロルマン氏は述べています。
「また、これらのシステムが重要インフラや社会的に不可欠なプロセスへのサイバー攻撃に悪用されるリスクも低減されます。これはSocGholishに対するさらなる行動の始まりです。」
SocGholishは、FakeUpdatesやGhoLoaderとも呼ばれるJavaScriptベースのマルウェアダウンローダーです。少なくとも2017年から攻撃に使用されており、主にWordPressサイトなどの正規サイトを乗っ取り、偽のブラウザアップデートに偽装した悪意あるペイロードをダウンロードさせる手口で知られています。
ユーザーが悪意あるアップデートをインストールすると、マルウェアが攻撃者への接続を開き、感染システムへのアクセスを許してしまいます。SocGholishはDridex、Doppelpaymer、Empire、Koadic、Chtonic、Azorultといった他のマルウェアファミリーの展開にも利用されてきました。
このマルウェアはこれまで、Evil Corpとの関連が指摘されています。Evil Corpは2007年から活動するロシアのサイバー犯罪グループで、ZeusおよびDridexマルウェアファミリーとの関係が深く、WastedLocker、Hades、Macaw Locker、Phoenix CryptoLockerといったランサムウェア攻撃も展開してきました。
ロルマン氏は本日公開されたプレスリリースの中で「これはSocGholishに対するさらなる行動の始まりです」と改めて強調しました。
オペレーション・エンドゲームの一環として昨年11月には、Rhadamanthys、VenomRAT、Elysiumの各ボットネットマルウェアが使用していた1,000台以上のサーバーも停止させています。
これまでにもオペレーション・エンドゲームは、ランサムウェアのインフラ、Smokeloaderボットネットの顧客およびサーバー、AVCheckサイト、さらにDanaBot、IcedID、Pikabot、Trickbot、Smokeloader、Bumblebee、SystemBCをはじめとする主要なマルウェアオペレーションを標的にしてきました。
攻撃者より先に、すべての防御層をテストする
セキュリティチームが検知できている攻撃は成功した攻撃の54%に過ぎず、アラートが上がるのはわずか14%です。残りの攻撃は環境内をひっそりと通り抜けています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMとEDRのルールを検証し、脅威の検知漏れを防ぐ方法を解説しています。
