新しいSocGholish

ほぼこもセキュリティニュース By Terilogy Worx

SocGholishはマルウェアです。
かなり以前から活動が観測されているもので、キャンペーンを重ねるごとにどんどん新しい手法を投入してきています。
基本的にWebサイト訪問者に偽のブラウザーアップデートをプッシュするスタイルです。

そのSocGholishで最近また新しいキャンペーンが展開されていることが観測されています。

  • 基本的な作戦
    偽のブラウザーアップデートを送り付ける作戦という点は変化していません。
  • キャンペーンの識別子
    それぞれのキャンペーンには識別子があるのですが、ここで注目するキャンペーンの識別子は272です。
    攻撃中のURLの表現では「cid=272」です。
  • 攻撃コードの配置場所
    攻撃の配布場所となってしまっているWordPressのサイトのコンテンツのなかにいつのまにかJavaScriptのコードが挿入された形でサイト利用者の手元のブラウザで処理されます。
    しかしその挿入されたJavaScriptのコードそのものは配布場所のWordPressのサイトのコンテンツからは探すことができませんでした。
  • 攻撃コードの送り込み手法
    攻撃者は、そのサイトで実際に使われているテーマ名を取得します。
    通常テーマのなかにはfunctions.phpが含まれ、そのなかでテーマの実現に必要な様々な処理がなされます。
    そのfunctions.phpの末尾に攻撃者の用意したコードを追加読み込みするコードが追加されています。
  • 追加読み込みするコードの難読化
    そのまま利用できる内容を読み込むような実装にすると、攻撃コードが存在していることが検出されてしまうこともあるでしょう。
    そこで攻撃者が選択した手法は難読化でした。
    攻撃コードの中身をまずはzipで圧縮します。
    そしてその圧縮した内容をPHPの機能で展開して読み込むのですが、その前段階でzip処理をさせることをわかりにくくするためにもうひと手間加えます。
    PHPのzip読み込み機能では「zip://」を解釈することができるのですが、そのzip読み込み機能に渡す前の文字列をstrrevというPHP関数であらかじめ処理するようにしたのです。
    このため処理される前のコードには「zip://」は含まれておらず「//:piz」が含まれていることになります。
    この難読化をそのまま見破ることのできる安全化機構はなかったために大きな感染数となってしまったのかもしれません。

このzipの裏返しの手法のほかにも、いくつかの新しい作戦で検出を回避する実装がされていました。
攻撃のためのコード部品を外部からもってくるためのPOSTのパラメータはエンコードされていますし、攻撃者が追加読み込みさせるプラグインは管理パネルのプラグイン一覧に表示されなくするようなことも実施されます。
環境で利用されているテーマ名に修飾文字列をつけてそのテーマの関連ファイルを読み込んでいるように見える状況を作り出したりもします。
環境で利用されているテーマが「theme-name」なら「theme-name-template-plugin」といった具合です。

この攻撃キャンペーンのターゲット環境は現時点ではWindowsのみです。
しかしそのうち他の環境も範囲となってしまうかもしれません。
また、ここで展開されている技法は検出が容易ではないことがわかっています。
残念ながらこれらの技法は他の攻撃者による他の攻撃にも応用されていってしまうことになるかもしれません。

この攻撃ではサイトの利用者にとっては頑張ることのできるポイントは少なそうです。
偽のブラウザアップデートを信じないことくらいしかありません。
サイトの所有者はもう少しできることがありそうです。
WordPressそのものもそうですし、プラグインもテーマもその他のソフトウェアコンポーネントも、すべて最新に保つようにしましょう。
サイトの管理者の認証情報も強力なパスワードを使うだとか2FAを使うなどしたほうがよいでしょう。
できることをやっていきましょう。

参考記事(外部リンク):New SocGholish Malware Variant Uses Zip Compression &
Evasive Techniques

blog.sucuri.net/2022/11/new-socgholish-malware-variant-uses-zip-compression-evasive-techniques.html