Güvenlik araştırmacıları, son derece yetenekli bir kötü amaçlı yazılım kampanyasının, gizli bir arka kapı eklemek için sıkça göz ardı edilen Mu-Plugins dizini kullanarak WordPress web sitelerini hedeflediği bir eğilim keşfettiler.
“Mutlaka kullanılması gereken eklentiler” için kısa olan bu dizin, standart WordPress yönetici arayüzü aracılığıyla devre dışı bırakılamayan otomatik olarak etkinleştirilmiş eklentileri, kalıcı tehditler için ideal bir saklama noktası haline getirir.
/WP-Content/Mu-plugins/içindeki WP-Index.php adlı zararsız bir dosya olarak gizlenen kötü amaçlı yazılım, ROT13-Obsuscated URL’den bir uzaktan yükü gizlice alan, kod çözen ve keyfi PHP kodunu yürüten bir yükleyici olarak işlev görür.
Bu taktik, Mart 2025’te bildirilen benzer bir enfeksiyon dalgası, saldırganların tehlikeye atılan web sitelerine uzun vadeli erişimi sürdürmek için kullandığı gelişen stratejilerin altını çizerek yankılanıyor.
Mu-pluginlerde kalıcı tehdit
WordPress’in yük getirme ve yürütme için temel işlevlerinden yararlanarak, kötü amaçlı yazılım sessizce çalışmasını sağlar, rutin dosya sistemi taramalarından kaçınır ve meşru site işlemleriyle sorunsuz bir şekilde karıştırılır.
Sucuri raporuna göre, alfabedeki 13 pozisyona göre basit bir Sezar şifreleme harfleri olan ROT13 Obfusation tekniği, gerçek bir şifreleme amaca hizmet etmiyor, ancak ilk enfeksiyon aşamalarında kötü amaçlı URL’leri etkili bir şekilde gizlemiyor.
Örneğin, kodlanmış ‘uggcf: //1870l4ee4l3q1x757673d.klm/peba.cuc’ hxxps: // 1870y4rr4y3d1k757673q[.]Base64 kodlu yükün indirildiği xyz/cron.php.
Bu yük daha sonra WordPress veritabanında _HDRA_CORE opsiyon tuşu altında saklanır ve güvenlik araçları tarafından tespiti zorlaştıran filesistem olmayan bir kalıcılık mekanizması sağlar.
Komut dosyası, kod çözülmüş içeriği geçici olarak .sess- gibi bir dosyaya yazmadan önce Base64 bütünlüğünü doğrular.[hash]Yürütme için yükleme dizinindeki.
Ayrıca, kötü amaçlı yazılım, ‘ResmiWP’ adlı gizli bir yönetici hesabı oluşturur ve dosya tarama, yükleme ve silme gibi işlemler için özel bir HTTP başlık belirteciyle erişilebilen fiyatlandırma-tablo -3.php olarak bir dosya yöneticisi enjekte eder.
Çok yönlü kötü amaçlı yazılım özellikleri
Kod çözülmüş cron.php uç noktasında barındırılan yükün derinliklerine giren analistler, sadece kalıcılığın ötesine uzanan kapsamlı bir arka kapı çerçevesi buldular.
Kötü amaçlı yazılım, ikincil bir eklenti olan WP-Bot-Protect.php’yi HXXPS’ye indirir ve aktive eder: // 1870y4rr4y3d1k757673q[.]Birincil bileşenler çıkarılırsa enfeksiyonu eski haline getirebilen XYZ/SHP.
Özellikle sinsi bir özellik, ‘yönetici’, ‘kök’, ‘wpsupport’ ve hatta kendi ‘resmiWP’ dahil olmak üzere ortak yönetici kullanıcı adları için parolaların programlı olarak sıfırlanmasını, saldırgan kontrollü bir varsayılana, etkili bir şekilde meşru kullanıcıları kilitlemeyi ve yeniden giriş sağlamayı içerir.
Bu dinamik komut yürütme özelliği, uzaktan PHP kodu enjeksiyonuna izin vererek, saldırganların ek arka planlar yerleştirme veya güvenlik eklentilerini bastırmak gibi kötü amaçlı yazılımların davranışını anında uyarlamalarını sağlar.
Bu enfeksiyonun daha geniş etkisi derindir, saldırganlara site içeriğini manipüle etmek, hassas kullanıcı verilerini eklemek veya kimlik avı, fidye yazılımı dağılımı veya üçüncü taraflara karşı dağıtılmış servis (DDOS) saldırıları için siteyi yeniden kullanmak için sınırsız yönetici ayrıcalıkları vermek.
Veritabanı depolama, geçici dosya işleme ve eklentiler yoluyla kendini güçlendirme dahil çok katmanlı kaçınma teknikleri, standart iyileştirme çabalarına son derece esnek hale getirir.
Web sitesi sahiplerine, bu tür tehditleri azaltmak için katı dosya bütünlüğü izleme ve normal veritabanı denetimleri uygularken, WP-Index.php dosyası, _HDRA_CORE veritabanı girişi ve anormal yönetici kullanıcıları gibi göstergeleri taramaları istenir.
Bu olay, daha az bilinen WordPress dizinlerinde artan uyanıklığa yönelik kritik ihtiyacı vurgulamaktadır, çünkü saldırganlar sürekli, gizli operasyonlar için mimari nüanslardan yararlanmaya devam etmektedir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now