Специалисты компании Netcraft обнаружили, что еще 31 января 2017 года злоумышленники скомпрометировали один из поддоменов Стэнфордского университета. Атака затронула Центр биологии старения Пола. Ф. Глена (Paul F. Glenn Center for the Biology of Aging), на сайт которого в итоге были загружены мейлеры, веб-шеллы и так далее.

С чего именно началась атака, специалисты выявить не сумели. Судя по датам, одним из первых на сервер был загружен файл wp_conffig.php, которому долгое время удавалось не привлекать к себе внимания благодаря названию.

Хотя еще в апреле 2017 года сайт обновился до наиболее актуальной версии WordPress (4.7.5), версия PHP оставляла желать лучшего. Исследователи полагают, что компрометация осуществлялась, к примеру, через уязвимость в одном из плагинов сайта, а не через саму CMS.

Когда компрометацию ресурса обнаружили, на сайте размещался целый арсенал. Так, аналитики нашли два фишинг-кита, ряд фишинговых страниц, направленных на хищение учетных данных Office 365, Gmail и LinkedIn, а также страницу, имитирующая банкинг SunTrust Bank. Кроме того, на сервере были обнаружены различные скрипты-мейлеры, которые использовались для рассылки большого количества спама.

Не удержались злоумышленники и от классического дефейса. К примеру, загруженный на сервер файл Alarg53.html содержал лаконичное сообщение «Hacked by Alarg53», и имя этого хакера также можно обнаружить более чем на 15 800 других сайтах в интернете.

Исследователи предполагают, что сайт использовался не одной группой хакеров, а сразу многими злоумышленниками. Эту теорию подтверждает разнообразие обнаруженных на сервере инструментов и дефейс-страниц.

Оставить мнение