Joomlaの何千もの海賊テーマとプラグインを配布するためのバックドアメカニズム, WordPress, DrupalCMSは最近野生で発見されました. 開発者は、CryptoPHPハッカーオペレーターがCに侵入するためにそれを使用していることを発見しました&C (制御とコマンド) サーバーと感染以上 23,000 脅威のあるIPアドレスの数.
バックドアスコープ
脅威の範囲に関する情報は、スイスのセキュリティブログAbuse.chと協力してFOXITセキュリティ会社によって収集されています。, シャドウサーバー/https://www.shadowserver.org/wiki/, とスパムハウス組織. 最もアクティブなサーバーを分析した後, 研究者は、彼らに連絡しているIPアドレスが減少することに気づきました, 到達する数 16,786 11月, 24th.
ただし、情報が完全に正しくない可能性があることに注意してください。. 影響を受けるWebサーバーは、さまざまなWebサイトをホストしている可能性があります, マルウェアだけでなく, Webサイトのいくつかのインターネットページに感染して、実際にその数を増やす可能性があります.
分析によると、感染したアドレスのほとんどは米国にあります, 知っている 8,657 これまでに感染したIP. 次の場所, 感染ははるかに少ないですが, ドイツは 2877 IP.
バックドアのバリエーションとテクニック
約 16 CryptoPHPのさまざまなバージョン, これまでのところ、Fox ITは、コンテンツ管理システム用の海賊版テーマとプラグインの普及を発見しています。. 最初のものは9月にさかのぼります, 2013 最新のものはCryptoPHPです 1.0, 今年11月12日に発見. 先週の日曜日に非常に興味深いことが起こりました (2311月3日) –悪意のある場所の多くが姿を消した, 月曜日にのみ表示されます (2411月), マルウェアの新しいバージョンが含まれています. 彼らは今日も活動しています.
主題に関するレポートで、Fox ITは、CryptoPHPが技術を使用していると述べています, 検索エンジンがコンテンツのインデックス作成に使用するものに似ています. マルウェアは、ページの訪問者がWebクローラーであるかどうかを検出し、影響を受けるページにリンクまたはテキストを挿入します, BlackhatSEOマルウェアを使用する.
ブラックハットSEO (検索エンジン最適化) ウェブサイトのランクを上げるために通常使用されている手法です, 正当な検索エンジンのルールをバイパスする. 最良の検索エンジン慣行に違反していると、ウェブサイトの禁止につながる可能性があります, BlackhatSEOを使用する.
どなた?
研究者はその人は, この攻撃の背後に立っているのはキシナウに基づいています, モルドバの首都. これは、ユーザー名が ” ちしげん12″ 見つかった, そのIPはモルドバに拠点を置き、12月から活動しています, 2013. ユーザーがVPNまたはプロキシの背後に隠れている可能性があります, もちろん.
マルウェアは、被害者とコントロールの間の通信を暗号化するために公開RSAセキュリティキーを使用することも知られています & コマンドサーバー. サーバーがダウンした場合, コミュニケーションは電子メールで継続されます. それもシャットダウンされた場合, バックドアはCを必要とせずに手動で制御できます&Cサーバー.
Fox ITは、ユーザーがバックドアを持っているかどうかを判断するための2つのPythonスクリプトを作成しました. どちらもファイル共有プラットフォームGitHubにアップロードされます. それらの1つは、脅威があるかどうかを判断するためのものです, もう1つは、すべてのファイルをスキャンします. これには、追加の管理者アカウントの削除や廃止された証明書の削除が含まれます.
これらの方法で十分ですが, 研究者はクリーンなCMSコピーの使用を推奨しています, バックドアがないことを確認するためだけに.
