- UNC5142が14,000以上のWordPressサイトをハッキングし、マルウェアを配布
- マルウェアのペイロードはブロックチェーンから取得され、耐障害性が向上し、削除が困難に
- ClickFixがユーザーを騙して悪意のあるコマンドを実行させる
Googleの脅威インテリジェンスグループ(GTIG)の最新レポートによると、14,000以上のWordPressウェブサイトがハッキングされ、マルウェア配布の発信源として利用されていました。
GTIGはこのキャンペーンについて詳しく説明し、これは2023年末に登場し2025年7月末に活動を停止した比較的新しい脅威アクターUNC5142の仕業だと述べています。
この停止が一時的なものか、恒久的なものか、あるいは単に別の手法に切り替えただけなのかはまだ分かっていません。過去にウェブサイトを侵害しマルウェアを展開した実績から、Googleは、このグループが難読化技術を向上させ、依然として活動していると考えています。
ブロックチェーンとClickFix
このキャンペーンでは、UNC5142は脆弱なWordPressサイト、つまり不具合のあるプラグインやテーマファイル、場合によってはWordPressデータベース自体を「無差別に」標的にしていました。
これらのサイトには、マルウェア配布を可能にする多段階JavaScriptダウンローダー「CLEARSHOT」が仕込まれました。このダウンローダーは、パブリックブロックチェーン(主にBNBチェーン)から第2段階のペイロードを取得します。
研究者によれば、ブロックチェーンの利用は耐障害性を高め、削除を困難にするため興味深いとしています。
「UNC5142のインフラと運用の大部分にブロックチェーン技術を利用することで、検知や削除の試みに対する耐性が高まっています」とレポートは述べています。
「Web3トラフィックは従来のURLを使用しないため、ネットワークベースの保護機構の実装が従来のウェブトラフィックよりも困難です。また、ブロックチェーンの不変性により、押収や削除作業も妨げられます。」
パブリックブロックチェーンから、マルウェアは外部サーバーからCLEARSHORTランディングページを取得します。このランディングページはClickFixというソーシャルエンジニアリング手法を提供し、ユーザーにWindowsの「ファイル名を指定して実行」やMacの「ターミナル」アプリにコマンドをコピー&ペーストさせ、最終的にマルウェアをダウンロードさせます。
これらのランディングページは通常Cloudflareの.devページ上にホストされ、暗号化された形式で取得されていたといいます。
GoogleニュースでTechRadarをフォロー または 優先ソースに追加して、専門ニュースやレビュー、意見をフィードで受け取りましょう。フォローボタンもお忘れなく!
もちろん、TikTokでTechRadarをフォローして、ニュースやレビュー、開封動画などを動画でチェックしたり、WhatsAppでも定期的な最新情報を受け取れます。
翻訳元: https://www.techradar.com/pro/security/thousands-of-web-pages-abused-by-hackers-to-spread-malware
