Баг WordPress-плагина GDPR Compliance использовался в реальных атаках

Баг WordPress-плагина GDPR Compliance использовался в реальных атаках

Злоумышленники использовали критическую уязвимость в плагине GDPR Compliance для WordPress в реальных атаках. С помощью этой бреши киберпреступники получали полный контроль над атакуемыми сайтами. Плагин GDPR Compliance довольно популярен — более 100 000 активных инсталляций.

GDPR Compliance помогает администраторам сайтов на WordPress соответствовать принятому в мае Общему регламенту по защите данных (General Data Protection Regulation, GDPR). Он поддерживает такие плагины, как Contact Form, Gravity Forms, WordPress Comments и WooCommerce.

Недавно киберпреступники обнаружили, что GDPR Compliance содержит ряд проблем безопасности, позволяющих получить контроль над уязвимыми сайтами. Согласно команде Wordfence, бреши могут быть использованы не прошедшими аутентификацию злоумышленниками для создания новой учетной записи администратора.

Специалисты Wordfence зафиксировали два типа кибератак, использующих GDPR Compliance. Чаще всего атакующие модифицировали настройки таким образом, чтобы разрешить регистрацию новых пользователей. После этого они наделяли новых пользователей правами администратора.

Стоит отметить интересную функцию эксплойта — он возвращал настройки в первоначальное состояние сразу после того, как были созданы аккаунты с правами администратора. В Wordfence полагают, что эта возможность была реализована с целью скрыть вектор проникновения.

Далее киберпреступники входили на сайт под администраторским аккаунтом и загружали веб-шелл на PHP, который позволял им получить полный контроль над скомпрометированным сайтом.

Также Wordfence наблюдали процесс загрузки бэкдора путем внедрения вредоносных действий в WP-Cron. Эта техника несколько сложнее, однако позволяет злоумышленникам прочно поселить бэкдор на сайте.

7 ноября разработчики GDPR Compliance выпустили версию 1.4.3, в которой проблемы безопасности должны быть устранены.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Между атакующими Украину вайперами (NotPetya и WhisperGate) нашли сходства

Эксперты проанализировали вредонос-вайпер, который недавно атаковал более десяти государственных сайтов Украины. Как отметили специалисты, им удалось найти «стратегические сходства» этого зловреда с NotPetya, который атаковал инфраструктуру Украины в 2017 году.

Напомним, что вредоносная программа, замеченная недавно в атаках на госсайты, получила название WhisperGate. На эту киберкампанию указала Microsoft, присвоив операторам кодовое имя «DEV-0586».

«У вайперов WhisperGate и NotPetya есть определённые стратегические сходства — например, маскировка под программу вымогатель, а также намеренное уничтожение главной загрузочной записи (master boot record, MBR) вместо её шифрования. Тем не менее современный вредонос располагает гораздо большим числом компонентов для деструктивной деятельности», — пишет Cisco Talos в отчёте.

Помимо этого, исследователи отметили, что в последней атаке, скорее всего, использовались украденные учётные данные. До запуска вредоносной активности киберпреступники месяцами присутствовали в сети жертв — классический признак сложной кибероперации (APT).

 

Цепочка заражения WhisperGate представляет собой многоступенчатый процесс, при котором загружается специальная вредоносная составляющая, стирающая MBR. Далее в систему  помещается вредоносная библиотека DLL, хранящаяся на сервере Discord, её цель — запустить ещё один вайпер, который уже уничтожает файлы (перезаписывает их содержимое мусорными данными).

Само собой, отдельные исследователи усмотрели в атаках WhisperGate действия знаменитых «российских хакеров». Доказательствами такие специалисты, конечно же, пока не делятся, как это обычно и бывает.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru