2025年7月24日Ravie Lakshmananサイバーセキュリティ / ウェブセキュリティ
サイバーセキュリティ研究者は、WordPressサイトの「mu-plugins」ディレクトリ内に隠された新たなステルスバックドアを発見しました。これにより、攻撃者は持続的なアクセスを得て、任意の操作を実行できるようになります。
必須プラグイン(mu-pluginsとも呼ばれる)は、インストールされたすべてのWordPressサイトで自動的に有効化される特別なプラグインです。これらはデフォルトで「wp-content/mu-plugins」ディレクトリに配置されます。
攻撃者にとって魅力的な選択肢となる理由は、mu-pluginsがwp-adminのプラグインページのデフォルトのプラグイン一覧に表示されず、必須ディレクトリからプラグインファイルを削除しない限り無効化できない点にあります。
その結果、この手法を利用するマルウェアは、警告を発することなく静かに動作することが可能となります。
ウェブセキュリティ企業Sucuriが発見した感染例では、mu-pluginsディレクトリ内のPHPスクリプト(「wp-index.php」)がローダーとして機能し、次の段階のペイロードを取得して、WordPressデータベースのwp_optionsテーブル内の_hdra_coreに保存します。
リモートペイロードは、ROT13という単純な置換暗号(各文字を13文字後に置き換える、例:A→N、B→O、C→Pなど)で難読化されたURLから取得されます。
「取得されたコンテンツは一時的にディスクに書き込まれ、実行されます」と、セキュリティ研究者のPuja Srivastavaは述べています。「このバックドアにより、攻撃者はサイトへの持続的なアクセスと、リモートで任意のPHPコードを実行する能力を得ます。」
具体的には、「pricing-table-3.php」という隠しファイルマネージャーをテーマディレクトリに挿入し、攻撃者がファイルの閲覧、アップロード、削除を行えるようにします。また、「officialwp」という管理者ユーザーを作成し、悪意のあるプラグイン(「wp-bot-protect.php」)をダウンロードして有効化します。
感染が削除された場合でも再感染させるだけでなく、このマルウェアは「admin」「root」「wpsupport」などの一般的な管理者ユーザー名のパスワードを、攻撃者が設定したデフォルトパスワードに変更する機能も備えています。これは自身が作成した「officialwp」ユーザーにも適用されます。
こうして攻撃者はサイトへの持続的なアクセスを確保し、悪意のある操作を実行できるだけでなく、他の管理者を事実上締め出すことができます。これには、データの窃取や、サイト訪問者にマルウェアを配布したり、詐欺サイトへリダイレクトするコードの挿入などが含まれます。
「攻撃者は完全な管理者権限と持続的なバックドアを手に入れ、サイト上であらゆることができるようになります。さらなるマルウェアのインストールからサイトの改ざんまで可能です」とSrivastavaは述べています。「リモートコマンド実行やコンテンツ注入機能により、攻撃者はマルウェアの挙動を変更することもできます。」
これらの脅威を軽減するためには、サイト管理者がWordPress本体、テーマ、プラグインを定期的に更新し、アカウントを二要素認証で保護し、テーマやプラグインファイルを含むサイト全体を定期的に監査することが不可欠です。
翻訳元: https://thehackernews.com/2025/07/hackers-deploy-stealth-backdoor-in.html