大規模なウェブサイト改ざんキャンペーンが7,500以上のユニークなMagento電子商取引ドメインを侵害することに成功し、15,000以上の関連サブドメインに不正なテキストファイルがアップロードされました。
このキャンペーンの広範な性質は、グローバルな電子商取引プラットフォーム、特にパッチが適用されていない、または不正に構成されている環境に依存するプラットフォームが直面する継続的なセキュリティの課題を強調しています。
初期調査によると、攻撃者は特定のMagento環境に存在する認証されていないファイルアップロード脆弱性を悪用しています。
影響を受けたバージョンはMagento Open Source、Magento Enterprise、およびMagento B2Bを搭載したエンタープライズグレードのAdobe Commerce展開を含む、Magentoエコシステム全体に及びます。
セキュリティ研究者は、搾取技術が2025年10月のSessionReaper脆弱性で見られた方法論と非常に似ていることに注目しています。
この広範なキャンペーンの主要な目的は、金銭的恐喝やデータの破壊的な削除に従事するのではなく、アンダーグラウンドハッキングコミュニティ内で評判を構築することです。
脅威アクターは改ざんページに特定のデジタル署名を残し、L4663R666H05T、Simsimi、Brokenpipe、Typical Idiot Securityなどのエイリアスを目立つように表示しています。
これらのハッカーハンドルには、ウェブサイト改ざんサブカルチャーの伝統的な慣行である「greetz」リストがしばしば付随し、攻撃者が信頼性を確立するために協力者と関連するハッキンググループを公開で謝辞を述べます。
現代の改ざんキャンペーンは自動化された大規模スキャンと一般的なソフトウェア脆弱性の悪用に大きく依存しているため、攻撃者は非常に短い期間で膨大な数のサイトを侵害しました。
この広範で無差別なアプローチは、不注意により複数の大手エンタープライズ組織を巻き込みました。トヨタ、フィアット、シトロエン、ASUS、フェデックス、ヤマハ、リンドを含む世界的に認識されている商業ブランドが、著名な被害者の中にありました。
さらに、キャンペーンはドメインをターゲットに、trumpstore.comやtrumphotels.comなどのトランプ機構に関連するドメイン、およびラテンアメリカとカタールの様々な地域政府サービスと学術大学ドメインを含みます。
影響を受けた犠牲者の懸念される一覧にもかかわらず、侵害は主にコアの内部ネットワークまたは機密顧客データベースではなく、周辺ウェブインフラストラクチャに限定されていました。
ほとんどの場合、悪意のあるテキストファイルはサブドメイン、ステージング環境、または地域のストアフロントに限定されていました。
しかし、Netcraftでは、ネットワーク管理者が修復措置を適用する前に、少数の本番環境に向けたサイトが一時的に影響を受けました。
ターゲットの無差別な性質は、これらの著名な組織が特に標的にされなかったことを確認しています。
代わりに、彼らはインターネット全体の脆弱なMagentoインフラに対する攻撃を自動化しているサイバー犯罪者によって投げかけられたより広いネットに巻き込まれました。
翻訳元: https://cyberpress.org/magento-stores-hit-malware/