Компания Sucuri сообщает, что ресурсы, работающие под управлением WordPress, в очередной раз стали мишенью для хакеров. Против сайтов на базе популярной CMS развернута масштабная кампания, цель которой: распространение вредоносной рекламы.
Между тем команда разработчиков WordPress выпустила версию 4.4.2, устраняющую 17 багов и две уязвимости.
Эксперт компании Sucuri Денис Синегубко (Denis Sinegubko) рассказал о масштабной кампании, направленной против ресурсов на базе WordPress. Злоумышленники заражают все JavaScript-файлы на хостинге, внедряя в них зашифрованный вредоносный код.
Если несколько сайтов размещаются на хостинге под одним аккаунтом, заражены окажутся они все; данная техника носит название cross-site contamination. Обойтись очисткой от малвари только одного сайта не получится, придется изолировать каждый ресурс отдельно и чистить их все последовательно.
Также атакующие оставляют за собой череду бэкдоров, которые размещаются в разных местах веб-сервера. Бэкдоры используются для постоянного обновления кода вредоносных инъекций в .js-файлах, а также для повторного перезаражения ресурса после его очистки. Очевидно, с бэкдорами специалисты Sucuri еще не разобрались до конца, так как никакой информации о том, где их искать,
Зараженные сайты используются для отображения вредоносной рекламы. Фальшивые баннеры инфицируют пользователей малварью, при помощи эксплоит кита Nuclear. Реклама, загруженная атакующими, всегда имеет ID Twiue123.
Компания Google уже отправила в черный список все домены, через которые злоумышленник распространял код рекламы. Компания Sucuri сообщает, что домены были зарегистрированы на некого Vasunya и email-адрес valera.valera-146@yandex.ru. Первый домен был создан 22 декабря 2015 года, последний известный – 1 февраля 2016 года. Достаточно необычно, но все вредоносные домены ведут к облакам Digital Ocean, где малварь можно встретить нечасто: 46.101.84.214, 178.62.37.217, 178.62.37.131, 178.62.90.65.
Между тем 2 февраля 2016 года была представлена версия WordPress 4.4.2. Обновление для самой популярной CMS в мире исправляет 17 различных багов, а также две достаточно серьезные проблемы с безопасностью. Подробной информации об уязвимостях мало, так как команда WordPress в последнее время предпочитает придерживать информацию такого рода, давая администраторам сайтов время обновиться.
Известно, что первую брешь обнаружил датский исследователь Ронни Скансинг (Ronni Skansing). Подробностей о данной проблеме пока нет, известно только, что датчанин нашел уязвимость SSRF (Server Side Request Forgery).
Вторая проблема была найдена независимым ИБ-экспертом из Индии Шайлешем Сутаром (Shailesh Suthar). Сутар обнаружил Open Redirect баг во фреймворке WordPress. Известно, что проблема как-то связана со страницей авторизации. Уязвимость представляет опасность практически для всех предыдущих версий CMS. Эксплуатируя данную брешь, атакующий может перенаправить свою жертву на любой внешний веб-сайт.
Как выяснили специалисты центра исследования безопасности промышленных систем Kaspersky ICS CERT, в первом квартале 2024 года 23,6% компьютеров в сетях российских АСУ ТП столкнулись с проникновение вредоносных программ.
Интересно, что за этот же период в 2023 году таких устройств было 27,9%, то есть имеем снижение на 4,3 процентных пункта. Тем не менее такие атаки становятся более сложными и целенаправленными.
На конференции Kaspersky CyberSecurity Weekend прозвучала мысль, что более сложные кибератаки на АСУ ТП, даже если их меньше, способны нанести серьёзный урон промышленной сфере.
На инфографике ниже эксперты приводят долю компьютеров АСУ в России, на которых были заблокированы вредоносные объекты, по кварталам:
Некоторые отрасли в России отметились тем, что в них доля заражённых объектов оказалась выше, чем в среднем по миру. Взять, к примеру, строительство: 24,2% в нашей стране против 23,7% по всему миру. В инжиниринге и у интеграторов АСУ — 27,2% против 24%
Как отметили в Kaspersky ICS CERT, в России особенно наблюдаются атаки киберпреступников на интеграторов, доверенных партнёров и подрядчиков.
Самые основные векторы, как и прежде, — фишинг через веб-страницы и по электронной почте. В первом квартале 2024-го в России вредоносные ресурсы были заблокированы на 7,5% компьютеров АСУ ТП.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
