Новое вредоносное ПО для Linux, использующее более 20 недостатков CMS на сайтах WP

Опубликовано: 2023-02-06

Появилось новое вредоносное ПО для Linux, которое использует уязвимости в системе безопасности тем WordPress и плагинов веб-сайтов, работающих на платформе Linux. Выполняя Javascript для нацеливания на исходный код веб-сайта, вредоносная программа может помочь киберпреступникам запускать DDoS-атаки, получать доступ к конфиденциальным данным и перенаправлять пользователей на вредоносные веб-сайты.

В этой статье будет представлен всесторонний обзор этой новой вредоносной программы для Linux, а также обсуждение того, как она работает, недостатки CMS, которые можно использовать, и что можно сделать для предотвращения такой атаки.

Что такое атака вредоносного ПО для Linux?

Многие современные облачные среды основаны на операционной системе Linux. Из-за этого кибератаки, направленные непосредственно на веб-хосты, использующие Linux, растут. Успешно проникнув в среду Linux, киберпреступники могут получить доступ к целому ряду конфиденциальных данных, запустить вредоносное ПО и нанести долгосрочный ущерб ИТ-инфраструктуре.

Обнаружено новое вредоносное ПО для Linux
Предупреждение о вредоносном ПО для Linux

С 2020 года троянские вирусы и программы-вымогатели являются наиболее распространенными формами атак вредоносных программ на базе Linux.

Уязвимости, такие как последние недостатки WordPress CMS, скомпрометировали сети. Другие уязвимости включают отсутствие аутентификации в сети или неправильную конфигурацию сервера. К сожалению, в последние годы такие атаки довольно успешны и становятся все более изощренными и разнообразными, вызывая головную боль у специалистов по кибербезопасности.

Типы вредоносных программ для Linux

Существует множество различных способов, с помощью которых субъект угрозы может выполнить атаку вредоносного ПО. Ниже приведены некоторые из наиболее распространенных типов.

Вредоносное ПО, нацеленное на образы ВМ

Вредоносное ПО постоянно совершенствуется, находя новые уязвимости, на которые нацелены впечатляюще продуманные атаки опытных киберпреступников. Одна из таких атак включает в себя нацеливание на образы виртуальных машин (ВМ), которые используются для обработки рабочих нагрузок.

Таким образом злоумышленники могут получить доступ к ценным ресурсам, размещенным в облаке, что позволит им сеять хаос.

Криптоджекинг

Криптоджекинг может быть очень прибыльным для киберпреступников, использующих ИТ-ресурсы жертвы для создания криптовалюты. Даже глобальные компании, такие как Tesla, стали жертвами такой атаки.

Вредоносное ПО для криптоджекинга использует системы, в которых отсутствует расширенная защита, что позволяет хакерам захватывать системы и добывать криптовалюту за счет жертвы.

Бесфайловые атаки на Linux

Используя инструмент Ezuri с открытым исходным кодом, написанный на Golang, хакеры могут шифровать вредоносное ПО, расшифровывать его во взломанной сети и не оставлять следов на системном диске. Это позволяет вредоносным программам обходить антивирусное программное обеспечение.

Эту технику обычно использует группа киберпреступников TeamTNT. Для крупных организаций это может иметь экстремальные последствия, нарушая нормативные требования. Защита от таких атак может иметь большое значение для обеспечения соответствия PCI и соблюдения других нормативных требований.

Объяснение соответствия требованиям PCI
Объясняет соответствие PCI

Спонсируемое государством вредоносное ПО

Группы национальных государств усиливают свои атаки на среды Linux, и это особенно очевидно в российско-украинской войне. Основная цель этих вредоносных атак — нарушение связи и уничтожение данных.

Как веб-сайты WP становятся мишенью нового вредоносного ПО для Linux

Новый штамм вредоносного ПО для Linux, ранее не известный экспертам по кибербезопасности, нацелен на веб-сайты WordPress, а точнее, на более чем двадцать плагинов и тем.

Российский поставщик систем безопасности «Доктор Веб» проанализировал эту новую угрозу, выделив потенциальные уязвимости. Представитель «Доктор Веб» заявил в недавнем отчете: «Если на сайтах используются устаревшие версии таких надстроек, в которых отсутствуют важные исправления, на целевые веб-страницы внедряются вредоносные JavaScript-коды. В результате, когда пользователи нажимают на любую область атакуемой страницы, они перенаправляются на другие сайты».

Атаки нацелены на определенные веб-сайты с уязвимыми плагинами и темами для развертывания вредоносного ПО. Это помогает создать сеть веб-сайтов (ботнетов), к которым киберпреступники имеют удаленный доступ, что позволяет им выполнять различные действия. JavaScript также может быть внедрен в систему, полученную удаленным сервером, перенаправляя пользователей, которые обращаются к взломанному веб-сайту, и отправляя их на вредоносный веб-сайт.

Еще одна бэкдорная версия атаки включала ранее неизвестный домен управления и контроля (C2) в дополнение к более чем 20 уязвимостям CMS WordPress.

В любом случае злоумышленник использует метод грубой силы для проникновения в учетные записи администратора WordPress. «Доктор Веб» добавил: «Если такая возможность будет реализована в более новых версиях бэкдора, злоумышленники смогут успешно атаковать даже некоторые из тех сайтов, которые используют текущие версии плагинов с исправленными уязвимостями».

20+ недостатков CMS, которые были использованы

Список уязвимых тем и плагинов, которые использовало вредоносное ПО для Linux, включает:

  • Дизайнер блогов (< 1.8.12)
  • Бризи
  • Скоро появится и режим обслуживания (<= 5.1.0)
  • Делает SEO
  • Легкий WP SMTP (1.3.9)
  • Видеоплеер FV Flowplayer
  • Гибридный
  • Живой чат с клиентским чатом Messenger от Zotabox (< 1.4.9)
  • Шорткоды ND (<= 5.8)
  • Газета (CVE-2016-10972, 6.4 – 6.7.1)
  • Onetone
  • Создатель опросов, опросов, форм и викторин от OpinionStage
  • Опубликовать пользовательские шаблоны Lite (< 1.7)
  • Богатые обзоры
  • Простые поля
  • Smart Google Code Inserter (прекращено с 28 января 2022 г., < 3.5)
  • Трекер социальных показателей
  • Тим Ядро
  • Всего пожертвований (<= 2.0.5)
  • WooCommerce
  • Часто задаваемые вопросы по WordPress Ultimate (CVE-2019-17232 и CVE-2019-17233, 1.24.2)
  • Сборщик RSS-каналов WPeMatico и
  • Соответствие GDPR WP (1.4.2)
  • Живой чат WP (8.0.27)
  • Поддержка чата WP
  • Интеграция WP-Matomo (WP-Piwik)
  • Менеджер быстрого бронирования WP
  • Визуальный редактор стилей CSS Yellow Pencil (< 7.2.0)
  • Связанные сообщения Юдзо (5.12.89)

Предыдущие атаки вредоносных программ на WordPress

Исследовательская организация Fortinet FortiGuard Labs, специализирующаяся на анализе угроз, обнаружила еще один ботнет (группу взломанных подключенных к Интернету устройств), известный как GoTrim. Эта сеть была создана с использованием методов грубой силы на самостоятельных веб-сайтах, использующих WordPress CMS, что дает им полный контроль над системой.

Sucuri, платформа безопасности и защиты веб-сайтов, принадлежащая GoDaddy, выявила более 15 000 взломанных веб-сайтов WordPress в конце 2022 года. Это было частью общей кампании вредоносных программ, направленной на перенаправление посетителей веб-сайтов на порталы вопросов и ответов, контролируемые киберпреступниками. По состоянию на январь 2023 года более 9000 из этих веб-сайтов все еще были заражены.

Летом 2022 года Sucuri также выпустила отчет, в котором подробно описывается система направления трафика (TDS), получившая название «Parrot», которая нацелена на веб-сайты WordPress с использованием вредоносного ПО на основе JavaScript.

Как предотвратить атаки вредоносных программ Linux

Чтобы предотвратить такую ​​атаку, всем пользователям WordPress рекомендуется обновить все компоненты своих веб-сайтов, включая любые сторонние плагины и темы. Рекомендуется также использовать надежные пароли и уникальные данные для входа для каждого пользователя для повышения безопасности.

Владельцы веб-сайтов также должны регулярно делать резервные копии своих данных, чтобы снизить вероятность стать жертвой атаки программ-вымогателей, а также рекомендуется устанавливать регулярно обновляемые плагины безопасности премиум-класса.

Подведение итогов

Эта недавно обнаруженная атака нацелена на более 20 плагинов и тем WordPress, размещенных в среде Linux, что позволяет киберпреступникам запускать вредоносное ПО. Многие из этих атак связаны с перенаправлением посетителей веб-сайтов на поддельные веб-сайты, в то время как другие помогают хакерам разрабатывать ботнеты, которые можно использовать для целого ряда преступлений.

Пользователи WordPress могут предотвратить такую ​​атаку, обновив все плагины и темы и используя надежные учетные данные для входа. Большинство веб-сайтов, которые стали жертвами атак вредоносных программ, плохо обслуживаются, имеют минимальную защиту и используют слабые пароли.