Xubuntuのウェブサイトがハッキングされ、正規のダウンロードリンクが置き換えられた

キーポイント
  • 公式 Xubuntu ウェブサイトが侵害され、ダウンロード リンクがマルウェアに置き換えられました。
  • 「Xubuntu-Safe-Download.zip」ファイルには偽の Windows インストーラーが含まれていました。
  • マルウェアはクリップボードのアドレスを操作して暗号通貨を盗みます。
  • この攻撃はWordPressプラグインの脆弱性を通じて実行されました。
  • 9月に発生した疑わしい広告の事件は、侵害の最初の兆候だった可能性がある。
Darkcrizt更新日

4分

xubuntu攻撃マルウェアダウンロード

最近、ニュースで Xubuntuの公式サイトが侵害された 深刻なセキュリティ侵害により、その後の配布に影響が出ています。 未知の攻撃者がダウンロードページを侵害することに成功した 正規のリンクを「Xubuntu-Safe-Download.zip」という悪意のあるファイルに置き換えます。このファイルは公式インストーラーのように見えましたが、実際には暗号通貨を盗むために設計されたWindows用トロイの木馬が含まれていました。

最初の警告は Redditユーザー公式サイトからXubuntuをダウンロードしようとした際に不審な動作に気づいた人物がいました。torrentやISOイメージではなく、「Xubuntu-Safe-Download.zip」というファイルがダウンロードされ、そこには Windows 実行可能ファイル。

Xubuntu-Safe-ダウンロード

El VirusTotalでの分析 確認した このファイルはインストーラーを模倣したトロイの木馬だった 本物で均一な 偽の利用規約文書が含まれていた その正当性を強化するため。 その真の機能は暗号クリッパーとして機能することだったクリップボードにコピーされた暗号通貨ウォレットのアドレスを傍受し、攻撃者のアドレスに置き換えます。

Xubuntu.orgがハッキングされ、ダウンロードボタンをクリックすると「Xubuntu-Safe-Download.zip」がダウンロードされます。このファイルには偽の利用規約と実行ファイルが含まれているようで、Virustotalの調査ではマルウェア(トロイの木馬)が含まれていることが確認されています。これは、Windows初心者でLinuxに興味を持つ可能性のあるユーザー(Windows 10のサポート終了が迫っている今、特にその傾向が強い)を誘致しようとしているようです。

XubuntuプロジェクトチームとUbuntu/Canonicalが迅速に対応してくれることを願っていますが、最初にこの脆弱性に気づいた人々によると、この脆弱性は6時間前から存在していたようです。この脆弱性が6時間も存在していたという事実は、問題にはならないはずです。

報道によると、 悪意のあるリダイレクトは約6時間アクティブのままでした Xubuntuチームが侵害されたリンクを削除する前のことです。現在、ダウンロードページは無効化され、サイトのメインページにリダイレクトされています。これは、チームが被害の軽減に努めていることを示しています。

Xubuntu マルウェア ウイルス合計

このマルウェアはWindowsユーザーのみに影響を与えた

この事件はLinuxコミュニティに大きな懸念を引き起こしたが、すべてが次の事実を示している。 この攻撃は特にWindowsユーザーを狙ったものだった悪意のある実行ファイルは、AppData/Roamingフォルダ(そのオペレーティングシステム固有のパス)にインストールされました。「TestCompany.SafeDownloader.exe」としても識別されるこのファイルは、VirusTotalのセキュリティベンダー72社のうち26社によって悪意のあるファイルとしてフラグ付けされました。

分析によると、 このマルウェアはマイナーではなくクリッパーです クリップボードの内容を改ざんし、暗号通貨の取引を攻撃者が管理するアドレスにリダイレクトする。その設計から、 経験の浅いユーザーを騙そうとした Windows から Linux に移行しているユーザーは、正規のダウンロード方法の違いに気付かない可能性があります。

WordPressの脆弱性と事前の侵入の可能性

すべてがそれを示しています この攻撃は、 WordPress xubuntu.orgサイトから、 おそらく古いプラグインが原因です。 Archive.org のログによると、ページは 10 月 11 日から 18 日の間に変更され、その間に悪意のあるリンクが追加されたことが示されています。

皆様、ありがとうございます。アップデートはホスティング環境に依存しており、ちょっとした不具合があったようです。現在対応中ですが、ダウンロードページは現在無効になっています。

私たちは静的な環境に移行しており、そうすればこうした問題はなくなるはずですが、私たちのチームは非常に小規模で、非常に忙しいのです…

さらに、 9月にはすでに異常行動が報告されていた。あるいは、サイト上で、ユーザーがカジノを宣伝するブログ記事を見つけた際にも、同様の問題が発生しました。この投稿はすぐに削除されましたが、徹底的な調査は行われず、これが侵害の初期兆候だったと考えられます。

Xubuntuのインシデントは孤立した事例ではないことを指摘しておく価値があります。ここ数ヶ月、オープンソースコミュニティは複数の攻撃に直面しています。Arch LinuxのAURリポジトリにはRATトロイの木馬が挿入され、FedoraとArchのインフラストラクチャはDDoS攻撃の標的となり、Red Hat GitLabインスタンスも侵害されました。