Xakep #305. Многошаговые SQL-инъекции
Масштабная атака на цепочку поставок затронула 93 темы и плагина для WordPress, в которые были внедрены бэкдоры, дававшие злоумышленникам полный доступ к сайтам.
Эксперты компании JetPack сообщили, что атака началась еще в сентябре 2021 года: 40 тем и 53 плагина для WordPress, размещенных на сайте разработчика (непальской компании AccessPress Themes), оказались заражены малварью. Подчеркивается, что бэкдоры были внедрены в код уже после того, темы и плагины были выпущены разработчком.
«Зараженные расширения содержали дроппер для веб-шелла, который давал злоумышленникам полный доступ к зараженным сайтам, — пишут исследователи — Те же расширения были безопасны, если загружались и устанавливались непосредственно из каталога на WordPress.org».
По данным JetPack, испорченное ПО содержало скрипт itial.php, который был добавлен в основной каталог, а затем включен в основной файл functions.php. Initial.php действовал как дроппер и использовал base64 для маскировки кода. Он загружал полезную нагрузку с wp-theme-connect[.]com и использовал ее для установки бэкдора как wp-includes/vars.php. После установки дроппер самоуничтожался, стремясь скрыть следы атаки.
Эксперты компании Sucuri, тоже изучившие этот инцидент, сообщают, что хотя атака на AccessPress длилась несколько месяцев, некоторые из зараженных бэкдором сайтов, содержали спам почти трехлетней давности. То есть злоумышленники давно продавали доступ к взломанным сайтам другим преступным группам.
По словам экспертов, злоумышленники использовали свои бэкдоры для обычного перенаправления посетителей зараженных сайтов на мошеннические ресурсы и ресурсы с малварью. То есть данная кампания была не слишком изощренной.
17 января 2022 года разработчики AccessPress представили новые, «чистые» версии всех своих продуктов.