О взломе сообщила британская компания FishPig, занимающаяся разработкой e-commerce решений (в основном для интеграций Magento-WordPress), которые в общей сложности загружены более 200 000 раз. Неизвестные внедрили в продукты компании бэкдор Rekoobe, чтобы атаковать клиентов.

Эксперты компании Sansec детально описали атаку в своем отчете. По их данным, неизвестные злоумышленники получили контроль над серверной инфраструктурой FishPig и добавили вредоносный код в ПО компании. Исследователи подтверждают компрометацию таких продуктов, как FishPig Magento Security Suite и FishPig WordPress Multisite, и предупреждают, что другие платные расширения, вероятно, тоже взломаны. Бесплатные инструменты, размещенные компанией на GitHub, эта атака, похоже, не затронула.

По информации экспертов, хакеры внедрили вредоносный код в файл License.php, который отвечает за проверку лицензии в премиум-плагинах FishPig. Этот код загружал бинарный файл lic.bin с серверов FishPig (license.fishpig.co.uk).

Бинарник представляет собой малварь семейства Rekoobe. Ранее этот троян удаленного доступа (RAT) распространялся в связке с Linux-руткитом Syslogk. В рамках атаки на FishPig, вредонос маскируется под безобидный SMTP-сервер и может активироваться с помощью скрытых команд, связанных с обработкой startTLS. После активации Rekoobe предоставляет хакерам реверс-шелл и позволяет им удаленно отдавать команды зараженному серверу.

Sansec пишет, что пока Rekoobe бездействует и ожидает команд от расположенного в Латвии управляющего сервера хакеров, который исследователи обнаружили по адресу 46.183.217[.]2. Предполагается, что стоящие за этой атакой злоумышленники, планировали продать доступ к скомпрометированным магазинам другим преступникам.

В итоге, все, кто устанавливал или обновлял премиальные продукты FishPig до 19 августа 2022 года, должны считать свои магазины скомпрометированными и немедленно предпринять следующие действия:

  • отключить все расширения FishPig;
  • запустить сканер вредоносных программ на стороне сервера;
  • перезапустить сервер, чтобы завершить любые несанкционированные фоновые процессы;
  • добавить 127.0.0.1 license.fishpig.co.uk в /etc/hosts, чтобы заблокировать малвари исходящие соединения.

Представители FishPig сообщили журналистам издания Bleeping Computer, что в настоящее время занимаются расследованием инцидента и изучают его последствия.

«Лучший совет на данный момент — переустановить все модули FishPig. Людям не нужно обновляться до последней версии (хотя они могут), так как простая переустановка той же версии гарантирует, что у них будет чистый код, поскольку весь зараженный код уже удален из FishPig.

Заражение ограничивалось обфусцированным кодом в одном файле нашей отдельной лицензии.fishpig.co.uk, и он уже удален, а мы добавили защиту от будущих атак. FishPig.co.uk не пострадал.

Приносим извинения за те неудобства, с которыми могли столкнуться пользователи. Это была чрезвычайно умная таргетированная атака, и в будущем мы будем более бдительными», — сообщили в компании.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии