มัลแวร์ Linux ตัวใหม่ใช้ประโยชน์จากข้อบกพร่อง CMS มากกว่า 20 รายการในไซต์ WP

เผยแพร่แล้ว: 2023-02-06

มัลแวร์ลินุกซ์ตัวใหม่ได้ถือกำเนิดขึ้นโดยใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยภายในธีม WordPress และปลั๊กอินของเว็บไซต์ที่ทำงานบนแพลตฟอร์มลินุกซ์ การใช้ Javascript เพื่อกำหนดเป้าหมายซอร์สโค้ดของเว็บไซต์ มัลแวร์สามารถช่วยอาชญากรไซเบอร์เปิดการโจมตี DDoS เข้าถึงข้อมูลที่ละเอียดอ่อน และเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตราย

บทความนี้จะให้ภาพรวมที่ครอบคลุมของมัลแวร์ลินุกซ์ตัวใหม่นี้ กล่าวถึงวิธีการทำงาน ข้อบกพร่องของ CMS ที่สามารถโจมตีได้ และสิ่งที่สามารถทำได้เพื่อป้องกันการโจมตีดังกล่าว

การโจมตีด้วยมัลแวร์ Linux คืออะไร?

สภาพแวดล้อมระบบคลาวด์จำนวนมากในปัจจุบันใช้ระบบปฏิบัติการลีนุกซ์ ด้วยเหตุนี้ การโจมตีทางไซเบอร์จึงพุ่งเป้าไปที่โฮสต์เว็บที่ใช้ Linux โดยตรง อาชญากรไซเบอร์สามารถเข้าถึงข้อมูลที่ละเอียดอ่อน รันมัลแวร์ และอาจสร้างความเสียหายในระยะยาวต่อโครงสร้างพื้นฐานด้านไอทีด้วยการแทรกซึมเข้าไปในสภาพแวดล้อม Linux ได้สำเร็จ

พบมัลแวร์ Linux ใหม่
คำเตือนมัลแวร์ Linux

ตั้งแต่ปี 2020 ไวรัสโทรจันและแรนซัมแวร์เป็นรูปแบบการโจมตีของมัลแวร์บน Linux ที่พบบ่อยที่สุด

ช่องโหว่ เช่น ข้อบกพร่องล่าสุดของ WordPress CMS ทำให้เครือข่ายเสียหาย ช่องโหว่อื่นๆ ได้แก่ การขาดการตรวจสอบความถูกต้องบนเครือข่ายหรือการกำหนดค่าเซิร์ฟเวอร์ผิดพลาด น่าเสียดายที่การโจมตีดังกล่าวค่อนข้างประสบความสำเร็จในช่วงไม่กี่ปีที่ผ่านมา และมีความซับซ้อนและหลากหลายมากขึ้น ทำให้ทีมรักษาความปลอดภัยทางไซเบอร์ต้องปวดหัว

ประเภทของการโจมตีด้วยมัลแวร์ Linux

มีหลายวิธีที่ผู้คุกคามสามารถดำเนินการโจมตีมัลแวร์ได้ ด้านล่างนี้เป็นประเภทที่พบได้บ่อยที่สุด

มัลแวร์ที่กำหนดเป้าหมายอิมเมจ VM

มัลแวร์มีการปรับปรุงอย่างต่อเนื่อง ค้นหาช่องโหว่ใหม่ๆ ที่มีเป้าหมายเป็นการโจมตีที่คิดมาอย่างน่าประทับใจโดยอาชญากรไซเบอร์ที่เชี่ยวชาญ การโจมตีดังกล่าวเกี่ยวข้องกับการกำหนดเป้าหมายอิมเมจ Virtual Machine (VM) ที่ใช้ในการจัดการเวิร์กโหลด

เมื่อทำเช่นนั้น ผู้ก่อภัยคุกคามจะสามารถเข้าถึงทรัพยากรอันมีค่าที่โฮสต์อยู่บนระบบคลาวด์ ทำให้พวกเขาสร้างความเสียหายได้

การเข้ารหัสลับ

Cryptojacking สามารถสร้างรายได้มากสำหรับอาชญากรไซเบอร์ โดยใช้ทรัพยากรไอทีของเหยื่อเพื่อสร้าง cryptocurrency แม้แต่บริษัทระดับโลก เช่น เทสลา ก็ยังตกเป็นเหยื่อของการโจมตีดังกล่าว

มัลแวร์ Cryptojacking ใช้ประโยชน์จากระบบที่ขาดการรักษาความปลอดภัยขั้นสูง ทำให้แฮ็กเกอร์สามารถเจาะระบบและขุด crypto โดยเหยื่อเป็นผู้รับผิดชอบ

การโจมตี Linux แบบไร้ไฟล์

การใช้เครื่องมือ Ezuri แบบโอเพ่นซอร์สที่เขียนโดย Golang แฮ็กเกอร์สามารถเข้ารหัสมัลแวร์ ถอดรหัสบนเครือข่ายที่ถูกเจาะและไม่ทิ้งร่องรอยบนดิสก์ระบบ สิ่งนี้ทำให้มัลแวร์สามารถข้ามซอฟต์แวร์ป้องกันไวรัสได้

กลุ่มอาชญากรไซเบอร์ TeamTNT มักใช้เทคนิคนี้ สำหรับองค์กรขนาดใหญ่ การดำเนินการนี้อาจส่งผลร้ายแรง โดยเป็นการละเมิดกฎข้อบังคับ การป้องกันการโจมตีดังกล่าวสามารถช่วยให้มั่นใจได้ว่าสอดคล้องกับ PCI และปฏิบัติตามหลักเกณฑ์ด้านกฎระเบียบอื่นๆ

คำอธิบายการปฏิบัติตาม PCI
อธิบายการปฏิบัติตาม PCI

มัลแวร์ที่สนับสนุนโดยรัฐ

กลุ่มรัฐชาติกำลังเพิ่มการโจมตีสภาพแวดล้อมของลินุกซ์ โดยเฉพาะอย่างยิ่งในสงครามรัสเซีย-ยูเครน เป้าหมายหลักของการโจมตีด้วยมัลแวร์เหล่านี้คือการรบกวนการสื่อสารและทำลายข้อมูล

เว็บไซต์ WP ถูกกำหนดเป้าหมายโดยมัลแวร์ Linux ใหม่อย่างไร

มัลแวร์ Linux สายพันธุ์ใหม่ที่ผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์ไม่เคยทราบมาก่อน พุ่งเป้าไปที่เว็บไซต์ WordPress หรือให้แม่นยำกว่านั้นคือปลั๊กอินและธีมมากกว่า 20 รายการ

Doctor Web ผู้ให้บริการด้านความปลอดภัยของรัสเซียได้วิเคราะห์ภัยคุกคามใหม่นี้ โดยเน้นย้ำถึงช่องโหว่ที่อาจเกิดขึ้น ตัวแทนจาก Doctor Web ระบุในรายงานล่าสุดว่า “หากไซต์ใช้โปรแกรมเสริมดังกล่าวในเวอร์ชันที่ล้าสมัย ขาดการแก้ไขที่สำคัญ หน้าเว็บเป้าหมายจะถูกแทรกด้วย JavaScript ที่เป็นอันตราย ดังนั้นเมื่อผู้ใช้คลิกที่ส่วนใดของหน้าที่ถูกโจมตี พวกเขาจะถูกเปลี่ยนเส้นทางไปยังไซต์อื่น”

การโจมตีกำหนดเป้าหมายเว็บไซต์เฉพาะที่มีปลั๊กอินและธีมที่มีช่องโหว่เพื่อติดตั้งมัลแวร์ สิ่งนี้ช่วยสร้างเครือข่ายเว็บไซต์ (บอตเน็ต) ที่อาชญากรไซเบอร์เข้าถึงได้จากระยะไกล ทำให้พวกเขาสามารถทำกิจกรรมต่างๆ ได้ JavaScript ยังสามารถแทรกเข้าไปในระบบที่เรียกค้นโดยเซิร์ฟเวอร์ระยะไกล เปลี่ยนเส้นทางผู้ใช้ที่เข้าถึงเว็บไซต์ที่ถูกละเมิดและส่งพวกเขาไปยังเว็บไซต์ที่เป็นอันตราย

การโจมตีแบบแบ็คดอร์อีกรูปแบบหนึ่งเกี่ยวข้องกับโดเมนคำสั่งและการควบคุม (C2) ที่ไม่รู้จักก่อนหน้านี้ นอกเหนือจากการกำหนดเป้าหมายข้อบกพร่อง CMS ของ WordPress มากกว่า 20 รายการ

ไม่ว่าในกรณีใด ผู้โจมตีจะใช้วิธีเดรัจฉานเพื่อแทรกซึมเข้าไปในบัญชีผู้ดูแลระบบ WordPress Doctor Web เสริมว่า “หากใช้ตัวเลือกดังกล่าวใน backdoor เวอร์ชันใหม่กว่า อาชญากรไซเบอร์จะสามารถโจมตีบางเว็บไซต์ที่ใช้ปลั๊กอินเวอร์ชันปัจจุบันที่มีช่องโหว่ที่แพตช์ได้สำเร็จ”

ข้อบกพร่อง 20+ CMS ที่ถูกใช้ประโยชน์

รายการธีมและปลั๊กอินที่มีช่องโหว่ซึ่งมัลแวร์ Linux ใช้ประโยชน์ ได้แก่:

  • ตัวออกแบบบล็อก (< 1.8.12)
  • บริซี่
  • เร็ว ๆ นี้ & โหมดการบำรุงรักษา (<= 5.1.0)
  • ดีลัคส์ SEO
  • WP SMTP แบบง่าย (1.3.9)
  • เครื่องเล่นวิดีโอ FV Flowplayer
  • ไฮบริด
  • แชทสดกับ Messenger แชทกับลูกค้าโดย Zotabox (< 1.4.9)
  • รหัสย่อ ND (<= 5.8)
  • หนังสือพิมพ์ (CVE-2016-10972, 6.4 – 6.7.1)
  • วันโทน
  • โพลล์ แบบสำรวจ แบบฟอร์ม & Quiz Maker โดย OpinionStage
  • โพสต์เทมเพลตที่กำหนดเอง Lite (< 1.7)
  • บทวิจารณ์มากมาย
  • เขตข้อมูลง่าย
  • Smart Google Code Inserter (หยุดให้บริการ ณ วันที่ 28 มกราคม 2022 < 3.5)
  • ตัวติดตามตัวชี้วัดทางสังคม
  • ทิมคอร์
  • ยอดบริจาคทั้งหมด (<= 2.0.5)
  • WooCommerce
  • คำถามที่พบบ่อยเกี่ยวกับ WordPress Ultimate (CVE-2019-17232 และ CVE-2019-17233, 1.24.2)
  • WPeMatico RSS Feed Fetcher และ
  • การปฏิบัติตาม WP GDPR (1.4.2)
  • WP แชทสด (8.0.27)
  • รองรับการแชทสด WP
  • การรวม WP-Matomo (WP-พิวิก)
  • WP ผู้จัดการการจองด่วน
  • เครื่องมือแก้ไขสไตล์ Visual CSS แบบดินสอสีเหลือง (< 7.2.0)
  • Yuzo โพสต์ที่เกี่ยวข้อง (5.12.89)

การโจมตีของมัลแวร์ WordPress ก่อนหน้านี้

องค์กรข่าวกรองและวิจัยภัยคุกคาม Fortinet FortiGuard Labs เปิดเผยบ็อตเน็ต (กลุ่มอุปกรณ์เชื่อมต่ออินเทอร์เน็ตที่ถูกละเมิด) ที่เรียกว่า GoTrim เครือข่ายนี้สร้างขึ้นโดยใช้เทคนิคเดรัจฉานบนเว็บไซต์ที่โฮสต์เองซึ่งใช้ WordPress CMS ทำให้สามารถควบคุมระบบได้อย่างเต็มที่

Sucuri ซึ่งเป็นแพลตฟอร์มการรักษาความปลอดภัยและการป้องกันเว็บไซต์ที่ GoDaddy เป็นเจ้าของ ตรวจพบเว็บไซต์ WordPress กว่า 15,000 เว็บไซต์ที่ถูกละเมิด ณ สิ้นปี 2565 นี่เป็นส่วนหนึ่งของแคมเปญมัลแวร์โดยรวมที่มุ่งเปลี่ยนเส้นทางผู้เยี่ยมชมเว็บไซต์ไปยังพอร์ทัลถามตอบที่ควบคุมโดยอาชญากรไซเบอร์ ในเดือนมกราคม 2023 เว็บไซต์เหล่านี้กว่า 9,000 แห่งยังคงติดไวรัส

ในช่วงฤดูร้อนปี 2022 Sucuri ยังเผยแพร่รายงานที่ให้รายละเอียดเกี่ยวกับระบบทิศทางการจราจร (TDS) ที่มีชื่อว่า '"Parrot" ซึ่งกำหนดเป้าหมายเว็บไซต์ WordPress โดยใช้มัลแวร์ที่ใช้ JavaScript

วิธีป้องกันการโจมตีของมัลแวร์ Linux

เพื่อป้องกันการโจมตีดังกล่าว ผู้ใช้ WordPress ทุกคนควรอัปเดตส่วนประกอบทั้งหมดของเว็บไซต์ รวมถึงปลั๊กอินและธีมของบุคคลที่สาม ตามแนวทางปฏิบัติที่ดีที่สุด ผู้ใช้ควรใช้รหัสผ่านที่รัดกุมและรายละเอียดการเข้าสู่ระบบที่ไม่ซ้ำกันสำหรับผู้ใช้แต่ละคนเพื่อเพิ่มความปลอดภัย

เจ้าของเว็บไซต์ควรสำรองข้อมูลของตนเป็นประจำ ช่วยลดโอกาสในการตกเป็นเหยื่อของการโจมตีจากแรนซัมแวร์ ขณะเดียวกันก็แนะนำให้ติดตั้งปลั๊กอินความปลอดภัยระดับพรีเมียมที่อัปเดตเป็นประจำ

ห่อ

การโจมตีที่ระบุใหม่นี้มีเป้าหมายที่ปลั๊กอินและธีม WordPress มากกว่า 20 รายการที่โฮสต์บนสภาพแวดล้อม Linux ทำให้อาชญากรไซเบอร์สามารถรันมัลแวร์ได้ การโจมตีเหล่านี้ส่วนใหญ่เกี่ยวข้องกับการเปลี่ยนเส้นทางผู้เข้าชมเว็บไซต์ไปยังเว็บไซต์ปลอม ในขณะที่การโจมตีอื่นๆ ช่วยให้แฮ็กเกอร์พัฒนาบอตเน็ตที่สามารถใช้กับอาชญากรรมต่างๆ ได้

ผู้ใช้ WordPress สามารถป้องกันการโจมตีดังกล่าวได้โดยอัปเดตปลั๊กอินและธีมทั้งหมดและใช้ข้อมูลรับรองการเข้าสู่ระบบที่แข็งแกร่ง เว็บไซต์ส่วนใหญ่ที่ตกเป็นเหยื่อของการโจมตีด้วยมัลแวร์นั้นได้รับการดูแลรักษาไม่ดี มีการติดตั้งความปลอดภัยน้อยที่สุด และใช้รหัสผ่านที่ไม่รัดกุม