WP-SHELLSTORM露呈:ハッカーが数千のWordPressサイトにバックドアを仕掛けた手口

eSecurity Planet のコンテンツおよび製品に関する推奨事項は、編集上の独立性を保っています。 パートナーへのリンクをクリックすることで、当社が収益を得る場合があります。 詳細はこちら

あるサイバー犯罪グループが犯した単純な運用ミスにより、研究者たちは大規模なウェブサイト侵害がどのように行われているのかを内部から知る機会を得ました。

SOCRadarによる調査によると、WP-SHELLSTORMと追跡されている脅威グループが所有するインターネットに露出したサーバーが、約3週間にわたって一般からアクセス可能な状態のまま放置されていたことが判明しました。 

SuzuLabsのセキュアAIソリューション兼サイバーセキュリティ担当シニアディレクター、Jacob Krell氏はeSecurityPlanetへのメールで次のように述べています。「WP-SHELLSTORMは、誰かがPythonのSimpleHTTPServerディレクトリを認証なしで22日間も開放したままにしていたことによって可視化された、産業化されたサイバー犯罪です」。

同氏はさらに、「多くの組織は、重大なCommon Vulnerabilities and Exposures(CVE)エントリが公開されたときや定期的な脆弱性評価の際にしか、外部への露出状況を評価していません」と付け加えています。

重要なポイント

  • 露出したWP-SHELLSTORMサーバーにより、攻撃者が既知の脆弱性を利用して大規模なWordPressサイト侵害を自動化していた手口が明らかになりました。
  • 今回のキャンペーンは主に、ゼロデイ攻撃ではなく、古いバージョンのままになっているWordPressプラグインやJoomlaコンポーネントを標的としていました。
  • 攻撃者の標的リストには140万を超えるサイトが記載されていましたが、実際に侵害が成功したサイト数はそれよりはるかに少ないことが研究者によって確認されています。
  • 露出したインフラからは、大規模なサイトへのバックドア設置に移行する前に、エンタープライズのクラウド認証情報を盗み出していた、それ以前のキャンペーンの存在も明らかになりました。 

WP-SHELLSTORMがWordPressサイトを侵害した手口 

WP-SHELLSTORMは、ウェブサイトを大量に侵害したうえでアクセス権を転売する、Webシェルアクセスの仲介業者として活動していました。 

同グループのサーバーには、エクスプロイトツール、Webシェル、標的リスト、活動ログ、コマンド履歴など、約800MBのデータが保管されていました。 

露出したファイルにより、同グループが脆弱なサイトをどのように侵害していたかが明らかになり、大規模なWordPress Webシェル攻撃について新たな知見がもたらされました。 

同グループはゼロデイ脆弱性を用いる代わりに、更新されていない古いWordPressプラグインに存在する既知の欠陥を狙う攻撃を自動化しており、WordPressサイトのセキュリティ上の弱点を露呈させています。 

既知のWordPress脆弱性が攻撃の温床に 

研究者によると、このツールキットは27件の既知の脆弱性の悪用に対応していましたが、そのうちのごく一部が攻撃活動の大半を占めていました。 

最も成功を収めた攻撃は、WordPressのキャッシュプラグインであるBreezeを狙ったもの(CVE-2026-3844)で、攻撃者は45,000を超えるサイトに対してこの攻撃を仕掛けていました。 

同グループ自身のログによると、17,000を超えるWebシェルが展開されており、これは今年観測された中でも最大級のWordPress Webシェル攻撃の一つとなっています。 

BreezeとJoomlaの脆弱性が主要な標的に 

ただし研究者によると、この脆弱性はBreezeにおいて非デフォルト設定である「Host Files Locally – Gravatars」オプションが有効になっている場合にのみ影響するため、実際に脆弱なサイトの数は限られるとしています。

攻撃者はまた、Joomla JCE Editorの脆弱性であるCVE-2026-48907も重点的に狙っていました。

大量の標的リスト=大規模な侵害成功ではない

露出したデータには140万を超えるサイトへの言及がありましたが、研究者はこの数字は確認済みの被害者数ではなく、スキャン対象のリストを表しているに過ぎないと注意を促しています。

あるファイル一つだけでも、スキャン対象として選ばれた58万7000件を超えるJoomlaドメインが含まれていました。 

重複を除去し、実際に侵害が成功した事例を検証した結果、Ctrl-Alt-Intelは約25,195件の侵害サイトを特定し、SOCRadarは分析中に5,700を超える稼働中のWebシェルを観測しています。

Webシェルが持続的なアクセスを提供

攻撃者はWordPress Webシェル攻撃の過程で脆弱なサイトの侵害に成功すると、down.phpと呼ばれる難読化されたWebシェルを設置しました。研究者はこれがオープンソースの中国製Webシェル「BestShell」から派生したものだとみています。

このバックドアにより、攻撃者はリモートでコマンドを実行したり、ファイルを閲覧したり、認証情報を盗み出したり、リバースシェルを確立したり、侵害環境内を横方向に移動したりすることが可能になりました。

さらなる持続性を確保するため、運用者はSNOWLIGHTドロッパーを展開し、VShellをインストールしていました。VShellは、[kworker/0:2]といった名称を使うことで正規のLinuxカーネルワーカープロセスを装うよう設計されたリモートアクセスツールです。

VShellは中国の国家関与が疑われるグループに関連するキャンペーンで確認されたこともありますが、研究者によると、中国語圏のサイバー犯罪者の間でも広く使われているとのことです。 

そのため、VShellの存在だけで国家の関与を示すものではないとしています。

研究者が明らかにした、それ以前の認証情報窃取キャンペーン

露出したサーバーからは、大規模なWordPress Webシェル攻撃を開始する前に実施されていた、それ以前のキャンペーンの証拠も見つかりました。 

SOCRadarによると、同グループはCVE-2021-29441を利用して脆弱なNacos設定サーバーを狙い、認証を回避して組織の設定データを盗み出していました。

研究者はまた、AWS、Oracle Cloud、Alibaba Cloud、Tencent Cloud、DigitalOceanのクラウド認証情報に加え、データベースのパスワードや暗号鍵も復元しています。

SOCRadarは、この一連の流れから、同グループはまずエンタープライズの認証情報を収集し、その後により大量のサイトへのバックドア設置キャンペーンへと移行したとみています。

運用上のミスが攻撃者の正体を露呈

高度なツールキットを運用していたにもかかわらず、脅威アクターはいくつかの運用セキュリティ上のミスを犯していました。

同グループは認証機能のないPython製Webサーバーを22日間にわたって一般公開状態のままにしており、内部のコマンド履歴、FOFA検索設定、エクスプロイトスクリプト、インフラの詳細情報が露出していました。 

研究者はまた、運用者が露出に気づいた後、ログの一部を削除しようとした形跡も確認していますが、その対応は手遅れでした。

ファイル全体に見られる簡体字中国語、FOFAの利用、使用されたマルウェアなどを根拠に、研究者は運用者が中国人ないし中国語話者である可能性が中程度から高い確度であると評価しています。 

ただしSOCRadarは、このキャンペーンは政府主導の作戦ではなく、金銭目的によるものだとみています。

組織がリスクを低減するには

WordPressサイトやJoomla環境のセキュリティを担う組織は、最新のセキュリティアップデートの適用を最優先すべきです。

同様の攻撃のリスクを軽減するために、以下を実施してください。

  • WordPress、Joomla、およびすべてのプラグインにパッチを適用すること。今回の調査結果に基づき、実際に悪用が確認されている脆弱性を優先してください。
  • 使用していないプラグイン、テーマ、拡張機能を削除または無効化し、全体の攻撃対象領域を減らすこと。
  • 不正なファイル変更、不審なWebシェル、その他WordPress Webシェル攻撃の兆候がないか、サイトを継続的に監視すること。 
  • 侵害の痕跡を探索すること。具体的には、.bd.php、.wp-log.php、.brq-*.phpといった不審なファイル、および実行パスやネットワーク接続を持つ偽の[kworker]プロセスなどが挙げられます。
  • 露出したNacosサーバーなど、脆弱なシステムが侵害された可能性がある場合は、認証情報やAPIキーをローテーションすること。
  • インシデント対応計画をテストし、サイト侵害を想定したシナリオでシミュレーションを実施すること。 

これらの対策を組み合わせることで、組織は全体的な露出を減らし、レジリエンスを高めることができます。

結論

今回のWP-SHELLSTORMの一件は、効果的なWordPressサイトのセキュリティは最新の脅威に対応することだけでなく、既知のリスクに一貫して対処し続けることにかかっているということを改めて示す事例と言えます。  

脅威アクターが標的の特定や攻撃の拡大にAIをますます活用するようになる中、既知の脆弱性を狙った自動化攻撃は、依然として大規模なWordPress Webシェルキャンペーンの温床となり続けています。 

組織は、迅速なパッチ適用や仮想パッチ、継続的な監視、テスト済みのインシデント対応計画、そして侵害成功時の被害範囲を抑えるゼロトラストの原則を組み合わせることで、リスクを低減できます。 

Ken Underhill

Ken Underhill is an award-winning cybersecurity professional, bestselling author, and technology leader with more than 25 years of experience in IT, cybersecurity, and risk management. His career spans network administration, incident response, penetration testing, and entrepreneurship, giving him firsthand experience helping organizations reduce risk and ensure compliance. Ken is also a former nurse and combat medic and he uses this background to break down complex cybersecurity topics into digestible content for a broad, global audience.
A multi-exit cybersecurity founder, Ken has spent decades helping organizations strengthen their security posture, manage risk, and navigate complex technology challenges. His expertise includes overall cybersecurity strategy, cloud security, incident response, risk management, security awareness, and emerging threats affecting businesses. Ken is also an advisor to multiple startups on AI security and risk.
In addition to his hands-on industry experience, Ken is a cybersecurity newsletter writer for TechnologyAdvice, where he covers cybersecurity news/trends and actionable best practices for business and IT professionals. Ken is also an educator with over 2 million people going through his courses over the years. He has won the Global Cybersecurity 40 under 40 (2x winner), the Cyber Champion award from Women’s Society of Cyberjutsu, and the 2019 SC Media award for Outstanding Educator. Ken is also a volunteer with organizations like Minorities in Cybersecurity, Black Girls Hack, and the Whole Cyber Human Initiative, which helps veterans transition into security careers.
Ken holds a Master of Science in Cybersecurity and Information Assurance from Western Governors University and a Bachelor of Science in Information Systems, with a major in Cybersecurity Management, from Strayer University. His certifications include the Certificate of Cloud Security Knowledge (CCSK), Certified Ethical Hacker (CEH), and Computer Hacking Forensic Investigator (CHFI) and he is a former adjunct professor of Digital Forensics. Ken also had a streaming cybersecurity television show from 2020-2022 that reached over 200K monthly viewers around the world.
His work and expertise have been featured in Forbes, Reader’s Digest, Medium, TechRepublic, Fox, NBC, CBS, Dark Reading, MSN Money, and other leading publications and media outlets, making him a trusted voice on cybersecurity, election security, and privacy.

翻訳元: https://www.esecurityplanet.com/threats/wp-shellstorm-exposed-hackers-backdoored-thousands-of-wordpress-websites/

ソース: esecurityplanet.com