Обнаружен вредоносный WordPress-плагин, использующий уязвимости 0-day

Обнаружен вредоносный WordPress-плагин, использующий уязвимости 0-day

Обнаружен вредоносный WordPress-плагин, использующий уязвимости 0-day

Недавно командой Trend Micro был обнаружен плагин Wordpress, содержащий бэкдор и использующий три уязвимости нулевого дня. Вредонос маскируется под довольно популярный анти-спам модуль WP-SpamShield Anti-Spam, который установили более 100 000 раз.

Зловреду было присвоено имя X-WP-SPAM-SHIELD-PRO, специалисты утверждают, что он может отключить связанные с безопасностью инструменты, красть данные и добавить скрытую учетную запись администратора. Кроме этого, бэкдор позволяет злоумышленникам загружать файлы на взломанный сайт.

Например, один из файлов, входящих в комплект этого «плагина», имеющий имя class-social-facebook.php, на первый взгляд, призван блокировать нежелательный спам в Facebook. Однако дальнейший анализ показал, что он был разработан для выведения атакуемого сайта из строя путем отключения всех активных плагинов. Два других файла class-term-metabox-formatter.php и class-admin-user-profile.php могут использоваться злоумышленниками для сбора и кражи данных.

Стоит упомянуть еще один файл в комплекте бэкдора - plugin-header.php, он отвечает за добавление на скомпрометированный сайт дополнительной учетной записи администратора, которая позволит злоумышленнику удалить файлы эксплойтов и предоставит имя пользователя, пароль и адрес электронной почты для входа на сайт.

Также вредонос может уведомлять своего хозяина каждый раз, когда администратор активирует его на своем сайте, это делается посредством команды ping.

Если вы используете старые версии следующих плагинов: Appointments, RegistrationMagic-Custom Registration Forms и Flickr Gallery; рекомендуется срочно обновить их, так как они содержат уязвимости нулевого дня:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Возвращение PassiveNeuron: группа атаковала серверы госорганизаций

Эксперты Kaspersky GReAT сообщили о волне атак кибергруппы PassiveNeuron, которая продолжалась с декабря 2024 по август 2025 года. Под удар попали правительственные, финансовые и промышленные организации в Азии, Африке и Латинской Америке. Главная особенность этой кампании — фокус на Windows Server.

«Лаборатория Касперского» впервые обнаружила PassiveNeuron в июне 2024 года. После полугодового перерыва злоумышленники вновь активизировались в декабре. На этот раз они использовали сразу три инструмента для закрепления в сетях жертв:

  • известный фреймворк Cobalt Strike,
  • а также два новых инструмента — бэкдор Neursite и имплант NeuralExecutor.

Neursite оказался модульным бэкдором, который собирает системную информацию, управляет процессами и может перенаправлять сетевой трафик через заражённые устройства. Это позволяет злоумышленникам незаметно перемещаться по сети.

NeuralExecutor — созданный на .NET имплант, способный получать команды с серверов злоумышленников, загружать дополнительные модули и выполнять их.

Во время анализа специалисты обратили внимание на необычные детали — в некоторых образцах функций встречались строки с кириллическими символами. Исследователи считают, что это, скорее всего, ложный след: злоумышленники могли специально вставить такие элементы, чтобы запутать экспертов по киберразведке.

По словам эксперта Kaspersky GReAT Георгия Кучерина, злоумышленники всё чаще нацеливаются на серверы, доступные из интернета:

«Серверы часто являются основой корпоративных сетей. Один успешный взлом может открыть путь к критически важным системам. Поэтому необходимо регулярно проверять серверные приложения и сокращать поверхность атаки».

Эксперты напоминают: поддержание актуальных обновлений, сегментация сетей и постоянный мониторинг трафика — ключевые меры, которые помогают защитить инфраструктуру от подобных кампаний.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru