Primijećeni su hakeri kako iskorištavaju legitiman, ali zastarjeli WordPress dodatak za skrivene backdoor web stranice kao dio tekuće kampanje, otkrio je Sucuri u izvještaju objavljenom prošle sedmice.
U pitanju je dodatak Eval PHP, koji je objavio programer po imenu flashpixx. Omogućava korisnicima da umetnu PHP kodne stranice i postove WordPress sajtova koji se zatim izvršavaju svaki put kada se objave otvore u web pretraživaču.
Iako Eval PHP nikada nije dobio ažuriranje u 11 godina postojanja, statistike koje je prikupio WordPress pokazuju da je instaliran na više od 8.000 web stranica, s tim da je broj preuzimanja rastao sa jednog ili dva u prosjeku od septembra 2022. godine na 6.988 30. marta 2023. godine.
Samo 23. aprila 2023. preuzet je 2.140 puta. Dodatak je prikupio 23,110 preuzimanja u proteklih sedam dana.
Sucuri u vlasništvu GoDaddy-a rekao je da je primijetio baze podataka nekih zaraženih web stranica ubrizgane malicioznim kodom u tabelu “wp_posts”, koja pohranjuje postove, stranice i informacije o navigacijskom meniju. Zahtjevi potiču sa tri različite IP adrese sa sjedištem u Rusiji.
“Ovaj kod je prilično jednostavan: koristi funkciju file_put_contents za kreiranje PHP skripte u docroot web-stranici sa specifičnim backdoor-om za izvršavanje koda na daljinu” rekao je istraživač sigurnosti Ben Martin.
“Iako dotična injekcija ispušta konvencionalni backdoor u strukturu datoteka, kombinacija legitimnog dodatka i backdoor droppera u WordPress postu omogućava im da lako ponovo inficiraju web stranicu i ostanu skriveni. Sve što napadač treba da uradi je da posjeti jedan od zaraženih postova ili stranica i backdoor će biti ubrizgani u strukturu datoteke.”
Sucuri je rekao da je otkrio preko 6.000 instanci ovog backdoor-a na kompromitovanim web stranicama u posljednjih 6 mjeseci, opisujući obrazac umetanja malicioznog softvera direktno u bazu podataka kao “nov i zanimljiv razvoj”.
Lanac napada podrazumijeva instalaciju dodatka Eval PHP na kompromitovane sajtove i njegovu zloupotrebu za uspostavljanje trajnih backdoor-a na više postova koji se ponekad takođe čuvaju kao nacrti.
“Način na koji Eval PHP dodatak radi dovoljno je da sačuvate stranicu kao nacrt da biste izvršili PHP kod unutar [evalphp] kratkih kodova” objasnio je Martin, dodajući da su lažne stranice kreirane sa pravim administratorom sajta kao njihovim autorom, što sugeriše da su se napadači uspjeli prijaviti kao privilegovani korisnik.
Razvoj još jednom ukazuje na to kako hakeri eksperimentišu s različitim metodama kako bi zadržali svoje uporište u ugroženim okruženjima i izbjegli skeniranje na strani servera i praćenje integriteta datoteka.
Savjetuje se vlasnicima web lokacija da osiguraju WP Admin kontrolnu ploču kao i da paze na bilo kakve sumnjive prijave kako bi spriječili hakere da dobiju administratorski pristup i instaliraju dodatak.
Izvor: The Hacker News