C
月内に
WordPressサイト約2,000件を標的とした悪意のあるキャンペーン
📌 一言でいうと
WordPressサイト約2,000件を標的とした悪意のあるキャンペーンが確認されました。攻撃者はSteamコミュニティのプロフィールコメント欄をC2通信の隠れ蓑として利用し、JavaScriptの注入や認証クッキーの窃取によるバックドア設置を行っています。また、検知を回避するために不可視のUnicode文字を用いてペイロードを隠蔽している点が特徴です。
🔍該当判定
- 自社でWordPressを利用してウェブサイトを運営している
- WordPressのプラグインやテーマを、公式以外(非正規ルート)から導入したことがある
- WordPressの管理画面へのログイン情報を、複数の担当者で使い回している
- WordPressの本体やプラグインの更新を数ヶ月以上放置している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
WordPressのプラグインおよびテーマの整合性を確認し、不審なPHPファイルの変更がないか点検してください。また、不審な外部JavaScriptの読み込みがないか監視を強化してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】WordPressサイトを標的としたSteam悪用C2通信への対応について
お疲れさまです。WordPressサイトを標的とした新たな攻撃手法に関する情報共有です。
■ 概要
攻撃者がSteamのプロフィールコメント欄をC2サーバーとして利用し、WordPressサイトに悪意のあるJavaScriptを注入したり、認証クッキーを窃取してバックドアを設置したりする活動が確認されています。不可視のUnicode文字を用いて検知を回避しているため、注意が必要です。
■ 影響範囲
- WordPressを利用しているウェブサイト
■ 対応手順
1. サイト内のPHPファイル(特にプラグインやテーマ)に意図しない変更が加えられていないか整合性チェックを実施してください。
2. 外部から読み込まれているJavaScriptに不審なドメインやSteam関連のURLが含まれていないか確認してください。
3. 管理者アカウントのセッション管理を見直し、不審なログイン履歴がないか確認してください。
■ 参考情報
- GoDaddy Security Team Report
対応優先度: 中
対応期限: 速やかに確認を推奨
お疲れさまです。WordPressサイトを標的とした新たな攻撃手法に関する情報共有です。
■ 概要
攻撃者がSteamのプロフィールコメント欄をC2サーバーとして利用し、WordPressサイトに悪意のあるJavaScriptを注入したり、認証クッキーを窃取してバックドアを設置したりする活動が確認されています。不可視のUnicode文字を用いて検知を回避しているため、注意が必要です。
■ 影響範囲
- WordPressを利用しているウェブサイト
■ 対応手順
1. サイト内のPHPファイル(特にプラグインやテーマ)に意図しない変更が加えられていないか整合性チェックを実施してください。
2. 外部から読み込まれているJavaScriptに不審なドメインやSteam関連のURLが含まれていないか確認してください。
3. 管理者アカウントのセッション管理を見直し、不審なログイン履歴がないか確認してください。
■ 参考情報
- GoDaddy Security Team Report
対応優先度: 中
対応期限: 速やかに確認を推奨
Subject: [Security Alert] WordPress Malware Campaign Abusing Steam for C2
Dear IT/Security Team,
We are sharing information regarding a new attack campaign targeting WordPress sites.
■ Overview
Attackers are leveraging Steam community profile comments as a C2 channel to hide their infrastructure. The malware injects malicious JavaScript into WordPress pages and steals authentication cookies to create backdoors, allowing remote modification of PHP files in plugins and themes. Invisible Unicode characters are used to evade detection.
■ Scope
- Websites running WordPress
■ Recommended Actions
1. Perform integrity checks on PHP files, specifically within plugins and themes, to detect unauthorized modifications.
2. Audit external JavaScript calls for suspicious URLs or unexpected references to Steam profiles.
3. Review administrator session logs for any unauthorized access.
■ Reference
- GoDaddy Security Team Report
Priority: Medium
Deadline: Immediate review recommended
Dear IT/Security Team,
We are sharing information regarding a new attack campaign targeting WordPress sites.
■ Overview
Attackers are leveraging Steam community profile comments as a C2 channel to hide their infrastructure. The malware injects malicious JavaScript into WordPress pages and steals authentication cookies to create backdoors, allowing remote modification of PHP files in plugins and themes. Invisible Unicode characters are used to evade detection.
■ Scope
- Websites running WordPress
■ Recommended Actions
1. Perform integrity checks on PHP files, specifically within plugins and themes, to detect unauthorized modifications.
2. Audit external JavaScript calls for suspicious URLs or unexpected references to Steam profiles.
3. Review administrator session logs for any unauthorized access.
■ Reference
- GoDaddy Security Team Report
Priority: Medium
Deadline: Immediate review recommended