Neue Linux-Malware, die über 20 CMS-Fehler in WP-Sites ausnutzt

Veröffentlicht: 2023-02-06

Neue Linux-Malware ist aufgetaucht, die Sicherheitslücken in WordPress-Designs und Plugins von Websites ausnutzt, die auf einer Linux-Plattform laufen. Die Malware führt Javascript aus, um auf den Quellcode der Website abzuzielen, und kann Cyberkriminellen dabei helfen, DDoS-Angriffe zu starten, auf vertrauliche Daten zuzugreifen und Benutzer auf bösartige Websites umzuleiten.

Dieser Artikel bietet einen umfassenden Überblick über diese neue Linux-Malware und erläutert, wie sie funktioniert, welche CMS-Fehler ausgenutzt werden können und was getan werden kann, um einen solchen Angriff zu verhindern.

Was ist ein Linux-Malware-Angriff?

Viele der heutigen Cloud-Umgebungen basieren auf einem Linux-Betriebssystem. Aus diesem Grund nehmen Cyberangriffe zu, die direkt auf Webhoster gerichtet sind, die Linux verwenden. Durch die erfolgreiche Infiltration einer Linux-Umgebung können Cyberkriminelle auf eine Reihe sensibler Daten zugreifen, Malware ausführen und möglicherweise langfristige Schäden an der IT-Infrastruktur anrichten.

Neue Linux-Malware gefunden
Warnung vor Linux-Malware

Seit 2020 sind Trojaner-Viren und Ransomware die häufigsten Formen von Linux-basierten Malware-Angriffen.

Schwachstellen, wie die neuesten WordPress-CMS-Fehler, haben Netzwerke kompromittiert. Weitere Schwachstellen sind eine fehlende Authentifizierung in einem Netzwerk oder eine Server-Fehlkonfiguration. Leider waren solche Angriffe in den letzten Jahren ziemlich erfolgreich und werden immer ausgefeilter und vielfältiger, was den Cybersicherheitsteams Kopfschmerzen bereitet.

Die Arten von Linux-Malware-Angriffen

Es gibt viele verschiedene Möglichkeiten, wie ein Bedrohungsakteur einen Malware-Angriff ausführen kann. Nachfolgend sind einige der häufigsten Typen aufgeführt.

Malware, die auf VM-Images abzielt

Malware wird ständig verbessert und findet neue Schwachstellen, die von erfahrenen Cyberkriminellen mit beeindruckend durchdachten Angriffen angegriffen werden. Ein solcher Angriff umfasst das Zielen auf Images virtueller Maschinen (VM), die zur Verarbeitung von Arbeitslasten verwendet werden.

Auf diese Weise können Bedrohungsakteure Zugriff auf wertvolle Ressourcen erhalten, die in der Cloud gehostet werden, und so Chaos anrichten.

Kryptojacking

Cryptojacking kann für Cyberkriminelle sehr lukrativ sein, indem sie die IT-Ressourcen des Opfers nutzen, um Kryptowährung zu generieren. Sogar globale Unternehmen wie Tesla wurden Opfer eines solchen Angriffs.

Cryptojacking-Malware nutzt Systeme aus, denen es an fortschrittlicher Sicherheit mangelt, und ermöglicht es Hackern, Systeme zu kapern und Krypto auf Kosten des Opfers abzubauen.

Dateilose Linux-Angriffe

Mit dem von Golang geschriebenen Open-Source-Tool Ezuri können Hacker Malware verschlüsseln, sie in einem angegriffenen Netzwerk entschlüsseln und keine Spuren auf der Systemfestplatte hinterlassen. Dadurch kann die Malware Antivirensoftware umgehen.

Die cyberkriminelle Gruppe TeamTNT verwendet häufig diese Technik. Für große Organisationen kann dies extreme Folgen haben und gegen Compliance-Vorschriften verstoßen. Der Schutz vor solchen Angriffen kann einen großen Beitrag zur Sicherstellung der PCI-Compliance und zur Einhaltung anderer regulatorischer Richtlinien leisten.

Erklärung zur PCI-Konformität
Erklärt die PCI-Compliance

Staatlich geförderte Malware

Nationalstaatliche Gruppen verstärken ihre Angriffe auf Linux-Umgebungen, was sich besonders im Russland-Ukraine-Krieg zeigt. Das Hauptziel dieser Malware-Angriffe besteht darin, die Kommunikation zu unterbrechen und Daten zu zerstören.

Wie WP-Websites von neuer Linux-Malware angegriffen werden

Ein neuer Linux-Malware-Stamm, der Cybersicherheitsexperten zuvor nicht bekannt war, zielt auf WordPress-Websites ab, oder genauer gesagt auf über zwanzig Plugins und Themes.

Der russische Sicherheitsanbieter Doctor Web hat diese neue Bedrohung analysiert und mögliche Schwachstellen aufgezeigt. Ein Vertreter von Doctor Web erklärte in einem kürzlich erschienenen Bericht: „Wenn Websites veraltete Versionen solcher Add-Ons verwenden, denen entscheidende Korrekturen fehlen, werden die Zielwebseiten mit schädlichen JavaScripts injiziert. Wenn Benutzer auf einen beliebigen Bereich einer angegriffenen Seite klicken, werden sie daher auf andere Websites umgeleitet.“

Die Angriffe zielen auf bestimmte Websites mit anfälligen Plugins und Designs ab, um Malware bereitzustellen. Dies trägt dazu bei, ein Netzwerk von Websites (Botnets) zu erstellen, auf das Cyberkriminelle aus der Ferne zugreifen können, wodurch sie verschiedene Aktivitäten durchführen können. JavaScript kann auch in ein System eingeschleust werden, das von einem Remote-Server abgerufen wird, um Benutzer umzuleiten, die auf eine verletzte Website zugreifen, und sie auf eine bösartige Website zu senden.

Eine weitere Backdoor-Version des Angriffs betraf eine zuvor unbekannte Command-and-Control-Domäne (C2) und zielte zusätzlich auf die über 20 WordPress-CMS-Fehler ab.

In beiden Fällen verwendet der Angreifer eine Brute-Force-Methode, um WordPress-Administratorkonten zu infiltrieren. Doctor Web fügt hinzu: „Wenn eine solche Option in neueren Versionen der Hintertür implementiert wird, können Cyberkriminelle sogar einige dieser Websites erfolgreich angreifen, die aktuelle Plugin-Versionen mit gepatchten Schwachstellen verwenden.“

Über 20 CMS-Fehler, die ausgenutzt wurden

Die Liste der anfälligen Themen und Plugins, die die Linux-Malware ausgenutzt hat, umfasst:

  • Blog-Designer (< 1.8.12)
  • Brillant
  • Demnächst verfügbar & Wartungsmodus (<= 5.1.0)
  • Delucks SEO
  • Einfaches WP-SMTP (1.3.9)
  • FV Flowplayer Videoplayer
  • Hybrid
  • Live-Chat mit Messenger Kunden-Chat von Zotabox (< 1.4.9)
  • ND-Shortcodes (<= 5,8)
  • Zeitung (CVE-2016-10972, 6.4 – 6.7.1)
  • Einton
  • Umfrage-, Umfrage-, Formular- und Quiz-Ersteller von OpinionStage
  • Veröffentlichen Sie benutzerdefinierte Vorlagen Lite (< 1.7)
  • Reichhaltige Bewertungen
  • Einfache Felder
  • Smart Google Code Inserter (abgekündigt am 28. Januar 2022, < 3.5)
  • Social-Metriken-Tracker
  • Thim Kern
  • Gesamtspenden (<= 2.0.5)
  • WooCommerce
  • Häufig gestellte Fragen zu WordPress Ultimate (CVE-2019-17232 und CVE-2019-17233, 1.24.2)
  • WPeMatico RSS-Feed-Fetcher und
  • WP-DSGVO-Konformität (1.4.2)
  • WP-Live-Chat (8.0.27)
  • WP-Live-Chat-Unterstützung
  • WP-Matomo-Integration (WP-Piwik)
  • WP-Schnellbuchungsmanager
  • Gelber Bleistift Visueller CSS-Stileditor (< 7.2.0)
  • Yuzo-bezogene Beiträge (5.12.89)

Frühere WordPress-Malware-Angriffe

Die Threat-Intelligence- und Forschungsorganisation Fortinet FortiGuard Labs enthüllte ein weiteres Botnet (eine Gruppe verletzter, mit dem Internet verbundener Geräte) namens GoTrim. Dieses Netzwerk wurde mithilfe von Brute-Force-Techniken auf selbst gehosteten Websites erstellt, die das WordPress-CMS verwenden, wodurch sie die volle Kontrolle über das System erhalten.

Sucuri, eine Website-Sicherheits- und Schutzplattform von GoDaddy, identifizierte Ende 2022 über 15.000 verletzte WordPress-Websites. Dies war Teil einer umfassenden Malware-Kampagne, die darauf abzielte, Website-Besucher auf Q&A-Portale umzuleiten, die von Cyberkriminellen kontrolliert werden. Bis Januar 2023 waren immer noch über 9.000 dieser Websites infiziert.

Im Sommer 2022 veröffentlichte Sucuri auch einen Bericht, in dem ein Traffic Direction System (TDS) mit dem Namen „Parrot“ beschrieben wurde, das mit JavaScript-basierter Malware auf WordPress-Websites abzielte.

So verhindern Sie Linux-Malware-Angriffe

Um einen solchen Angriff zu verhindern, wird allen WordPress-Benutzern empfohlen, alle Komponenten ihrer Websites zu aktualisieren, einschließlich aller Plugins und Themes von Drittanbietern. Als bewährte Methode sollten Benutzer außerdem sichere Kennwörter und eindeutige Anmeldedaten für jeden Benutzer verwenden, um die Sicherheit zu erhöhen.

Website-Besitzer sollten außerdem regelmäßig Backups ihrer Daten erstellen, um die Wahrscheinlichkeit zu verringern, Opfer eines Ransomware-Angriffs zu werden, während es auch empfohlen wird, regelmäßig aktualisierte Premium-Sicherheits-Plugins zu installieren.

Einpacken

Dieser neu identifizierte Angriff zielt auf über 20 WordPress-Plug-ins und -Themes ab, die in einer Linux-Umgebung gehostet werden, wodurch Cyberkriminelle Malware ausführen können. Viele dieser Angriffe bestehen darin, Website-Besucher auf gefälschte Websites umzuleiten, während andere Hackern helfen, Botnets zu entwickeln, die für eine Reihe von Verbrechen verwendet werden können.

WordPress-Benutzer können einen solchen Angriff verhindern, indem sie alle Plugins und Themes auf dem neuesten Stand halten und starke Anmeldeinformationen verwenden. Die meisten Websites, die Opfer von Malware-Angriffen geworden sind, sind schlecht gewartet, haben nur minimale Sicherheit installiert und verwenden schwache Passwörter.