Фахівці з кібербезпеки компанії c/side виявили масштабну зловмисну кампанію, спрямовану на компрометацію веб-ресурсів під управлінням WordPress. За результатами проведеного розслідування встановлено, що кількість скомпрометованих сайтів перевищила позначку в 5000. Особливістю даної атаки є використання зловмисниками передових технік проникнення та ексфільтрації конфіденційних даних.
Технічні особливості та механізм проведення атаки
Після успішного проникнення в систему зловмисники впроваджують шкідливий скрипт, який завантажується з командного домену wp3[.]xyz. Критичним індикатором компрометації є створення додаткового облікового запису адміністратора під іменем wpx_admin. Цей етап дозволяє атакуючим закріпитися в системі та підготувати платформу для подальших шкідливих дій.
Інструменти та методи викрадення даних
Наступною фазою атаки є впровадження спеціалізованого шкідливого плагіна (plugin.php), який розповсюджується через той самий командний центр. Функціонал цього плагіна включає можливості збору конфіденційної інформації, включаючи адміністративні облікові дані та системні журнали. Для уникнення виявлення зловмисники використовують складні методи обфускації мережевого трафіку.
Комплекс захисних заходів
Превентивні технічні заходи
– Негайне блокування доступу до домену wp3[.]xyz на рівні мережевого екрану
– Впровадження захисту від CSRF-атак із використанням одноразових токенів
– Систематичний контроль привілейованих облікових записів
– Постійний моніторинг встановлених плагінів та їх активності
Протокол дій при виявленні ознак компрометації
– Термінове видалення підозрілих адміністративних облікових записів
– Деактивація та видалення невідомих плагінів
– Проведення повного аудиту системних журналів
– Зміна облікових даних для всіх легітимних користувачів системи
Поточна ситуація підкреслює необхідність впровадження комплексного підходу до забезпечення безпеки WordPress-сайтів. Адміністраторам рекомендується реалізувати багаторівневу систему захисту, що охоплює як технічні засоби, так і організаційні заходи з контролю доступу та управління змінами. Регулярний моніторинг безпеки та своєчасне оновлення захисних механізмів залишаються критично важливими елементами протидії сучасним кіберзагрозам.
