Специалисты по кибербезопасности компании c/side выявили масштабную вредоносную кампанию, направленную на сайты под управлением WordPress. В ходе расследования установлено, что количество скомпрометированных ресурсов превысило 5000, а злоумышленники используют продвинутые техники для компрометации и кражи конфиденциальных данных.
Механизм атаки и признаки компрометации
После успешного проникновения в систему атакующие разворачивают вредоносный скрипт, загружаемый с домена wp3[.]xyz. Основная задача вредоносного кода — создание новой учетной записи администратора с предустановленными учетными данными под именем wpx_admin. Этот этап является критическим индикатором компрометации и требует немедленного внимания администраторов безопасности.
Вредоносный плагин как инструмент эксфильтрации данных
Следующим этапом атаки становится установка и активация вредоносного плагина (plugin.php), который злоумышленники распространяют через тот же командный домен. Особую опасность представляет способность плагина собирать конфиденциальную информацию, включая административные учетные данные и системные логи. Для маскировки своей активности хакеры используют обфускацию трафика, что затрудняет обнаружение утечки данных стандартными средствами мониторинга.
Рекомендации по защите и противодействию
Для минимизации рисков компрометации и защиты WordPress-сайтов специалисты рекомендуют комплекс превентивных мер:
Технические меры безопасности
— Немедленная блокировка домена wp3[.]xyz на уровне файервола
— Внедрение механизмов защиты от CSRF-атак с использованием временных токенов
— Регулярный аудит привилегированных учетных записей
— Мониторинг списка установленных плагинов
Действия при обнаружении компрометации
— Немедленное удаление несанкционированных административных учетных записей
— Деактивация и удаление подозрительных плагинов
— Полный аудит системных логов на предмет несанкционированной активности
— Смена учетных данных для всех легитимных пользователей
Текущая ситуация демонстрирует критическую важность регулярного мониторинга безопасности WordPress-сайтов и своевременного обновления защитных механизмов. Администраторам рекомендуется внедрить многоуровневую систему защиты, включающую как технические средства, так и организационные меры по контролю доступа и управлению изменениями.
