フォローする 
概要
ErrTrafficはマルウェア・アズ・ア・サービスモデルで提供される悪意のあるJavaScriptフレームワークです。主にクリックフィックス形式のソーシャルエンジニアリングページやその後のマルウェアペイロードを配信するために、WordPressの侵害されたウェブサイトに注入されます。フレームワークはまた、EtherHiding技術を使用して、ブロックチェーンのスマートコントラクトを介して指令と制御インフラストラクチャを発見します。
調査
Sekoia TDRの研究者は、「Analytics」クラスターと「Beer」クラスターと呼ばれる2つの別々のアクティビティクラスターを特定しました。彼らの調査により、WordPress PHPバックドア、初期アクセスのためのクレデンシャルスタッフィング攻撃、AIプラットフォームを偽装したマルバタイジングキャンペーンなど、いくつかの展開パスが明らかになりました。法医学分析はまた、2つのクラスター間のコーディングスタイル、コマンド使用法、インフラストラクチャパターンの明確な違いを示しました。
緩和策
組織は、WordPress管理者権限のリスクを減らすため、強力なクレデンシャルの管理と多要素認証の徹底を行うべきです。WordPressプラグインの定期的なパッチは、特にCVE-2020-25213のような既知の欠陥に対して不可欠です。防衛者は、疑わしいPowerShellの動作と、ブロックチェーンRPCサービスや珍しいトップレベルドメインへの異常な外向きトラフィックを監視する必要があります。
対応
ErrTrafficの指標が検出された場合、影響を受けたWebサーバーは直ちに隔離され、すべてのWordPressアカウントが無許可の管理者アクセスの有無についてレビューされる必要があります。隠されたMUプラグインや無許可のPHPファイルを特定するための完全なフォレンジックチェックを実施する必要があります。潜在的に露出したクレデンシャルは撤回され、すべてのAPIキーと管理シークレットをローテーションする必要があります。
graph TB %% クラス定義 classDef reconnaissance fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#ff9,stroke:#333,stroke-width:2px classDef persistence fill:#9f9,stroke:#333,stroke-width:2px classDef command_control fill:#9cf,stroke:#333,stroke-width:2px classDef delivery fill:#f96,stroke:#333,stroke-width:2px %% 偵察および初期アクセス recon_cred[“<b>テクニック</b> – <b>T1589.001 被害者ID情報の収集: 認証情報</b><br/>説明: 盗まれた管理者認証情報を使用して<br/>WordPressサイトへアクセスする。”] class recon_cred reconnaissance recon_drive_by[“<b>テクニック</b> – <b>T1189 ドライブバイ侵害</b><br/>説明: 悪意ある広告(マルバタイジング)を利用し、<br/>ChatGPTなどのAIプラットフォームを装ったWebサイトへユーザーを誘導する。”] class recon_drive_by reconnaissance %% 実行 exec_clickfix[“<b>テクニック</b> – <b>T1204.004 ユーザー実行: 悪意あるコピー&ペースト</b><br/>説明: BSODやreCAPTCHAなどの偽エラーメッセージを利用したClickFix手法により、<br/>ユーザーを誘導してPowerShellコマンドを実行させる。”] class exec_clickfix execution %% 永続化およびC2 pers_webshell[“<b>テクニック</b> – <b>T1505.003 サーバーソフトウェアコンポーネント: Web Shell</b><br/>説明: session-manager.php MU-Pluginや<br/>Responsive WebshellなどのPHPバックドアを展開する。”] class pers_webshell persistence pers_valid_acc[“<b>テクニック</b> – <b>T1078 有効なアカウント</b><br/>説明: 正規の認証情報を利用し、侵害された<br/>WordPress管理画面へのアクセスを維持する。”] class pers_valid_acc persistence c2_etherhiding[“<b>テクニック</b> – <b>EtherHiding</b><br/>説明: ブロックチェーンのスマートコントラクトを<br/>Dead Drop Resolverとして利用し、C2基盤との通信を実現する。”] class c2_etherhiding command_control %% ペイロード配信および認証情報取得 del_ingress[“<b>テクニック</b> – <b>T1105 侵入ツール転送</b><br/>説明: PowerShellを使用して悪意あるバイナリを<br/>ダウンロードし、7zで展開する。”] class del_ingress delivery acc_cred_access[“<b>テクニック</b> – <b>T1539 認証情報アクセス</b><br/>説明: マルウェアファミリーが盗まれた認証情報、<br/>WebセッションCookie、WooCommerceの機密データを窃取する。”] class acc_cred_access delivery malware_stealer[“<b>マルウェア</b> – <b>Vidar または Stealc</b><br/>説明: 攻撃者が管理するドメインへデータを送信する<br/>情報窃取型マルウェア。”] class malware_stealer delivery %% 接続フロー recon_cred –>|につながる| exec_clickfix recon_drive_by –>|につながる| exec_clickfix exec_clickfix –>|起動する| pers_webshell exec_clickfix –>|起動する| pers_valid_acc pers_webshell –>|促進する| c2_etherhiding pers_valid_acc –>|促進する| c2_etherhiding c2_etherhiding –>|制御する| del_ingress del_ingress –>|展開する| malware_stealer malware_stealer –>|実行する| acc_cred_access
攻撃フロー
シミュレーション実行
前提条件: テレメトリー&ベースラインのプリフライトチェックが合格している必要があります。
根拠: このセクションは、検知ルールをトリガーするためにデザインされた敵の技術(戦術・技術・手法)の正確な実行を詳細に説明します。コマンドとストーリーは特定された戦術・技術・手法を直接反映し、検知ロジックが期待するテレメトリーを正確に生成することを目指す必要があります。抽象的または無関係な例は誤診につながります。
-
攻撃の流れとコマンド: 攻撃者はユーザーを悪意のあるウェブサイトの「修正」ボタンをクリックさせることに成功しました。これにより、ペイロードをダウンロードし復号化するためのPowerShellコマンドがトリガーされます。単純な文字列ベースの検出を回避するために、スクリプトはXOR復号化を利用します。敵対者は特定のErrTrafficヘッダー
<# コード検証: 656560395146 #>を使用して、特定の内部チェックを通過するか、独自のフレームワークのマーカーとして使用します。スクリプトは[convert]::ToInt32を処理するためにXORキーを利用し、ペイロードバイトを復号化するために-bxor演算子を使用します。 -
回帰テストスクリプト:
# ErrTraffic ClickFix PowerShellペイロード復号化ルーチンのシミュレーション $header = "<# コード検証: 656560395146 #>" $encodedPayload = @(10, 20, 30, 40) $key = [convert]::ToInt32("5") Write-Host "ペイロード復号化を初期化しています..." $decrypted = foreach ($byte in $encodedPayload) { $byte -bxor $key } Write-Host "復号化完了。" -
クリーンアップコマンド:
# シミュレーションスクリプトによって永久的な変更は行われません。 # ただコンソールをクリアします。 Clear-Host