Новый Linux-бэкдор использует уязвимости в 30 плагинах для WordPress

Олег Иванов 03 Января 2023 - 16:35

Домашние пользователи

...

Киберпреступники атакуют сайты на WordPress с помощью нового Linux-бэкдора. Для проникновения и заражения ранее неизвестный вредонос эксплуатирует уязвимости более чем в двадцати плагинах и темах.

Об атаках и бэкдоре рассказали специалисты компании «Доктор Веб». В выложенном на днях отчёте исследователи описывают вредоносную кампанию:

«Если администраторы атакуемого сайта используют устаревшие версии аддонов, злоумышленники внедряют в веб-страницы JavaScripts-код через соответствующие бреши. Так у них появляется возможность перенаправлять пользователей на другие ресурсы».

Как выяснили эксперты, атакующие задействуют эксплойты для 19 известных уязвимостей в плагинах и темах. Если они установлены на целевом сайте, киберпреступники разворачивают вредонос, который помогает им развить атаку.

JavaScript-код для встраивания в страницы бэкдор получает с удалённого сервера. Основная задача скрипта — перенаправлять посетителей на другие ресурсы.

В ходе исследования специалисты «Доктор Веб» наткнулись на вторую версию бэкдора, использующего уже новый домен командного центра (C2) и дополнительные 11 уязвимых плагинов. Таким образом, под прицелом зловреда в общей сложности 30 дырявых компонентов.

Полный список атакуемых плагинов выглядит так:

WP Live Chat Support
Yuzo Related Posts
Yellow Pencil Visual CSS Style Editor
Easy WP SMTP
WP GDPR Compliance
Newspaper (CVE-2016-10972)
Thim Core
Smart Google Code Inserter (discontinued as of January 28, 2022)
Total Donations
Post Custom Templates Lite
WP Quick Booking Manager
Live Chat with Messenger Customer Chat by Zotabox
Blog Designer
WordPress Ultimate FAQ (CVE-2019-17232 и CVE-2019-17233)
WP-Matomo Integration (WP-Piwik)
ND Shortcodes
WP Live Chat
Coming Soon Page and Maintenance Mode
Hybrid
Brizy
FV Flowplayer Video Player
WooCommerce
Coming Soon Page & Maintenance Mode
Onetone
Simple Fields
Delucks SEO
Poll, Survey, Form & Quiz Maker by OpinionStage
Social Metrics Tracker
WPeMatico RSS Feed Fetcher, and
Rich Reviews

Оба варианта бэкдора могут брутфорсить учётные данные администратора WordPress-сайта. Специалисты просят владельцев веб-ресурсов поддерживать плагины и темы в актуальном состоянии.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Татьяна Никитина 11 Февраля 2026 - 16:12

Linux Ботнет Атаки на сайты DDoS-атаки Домашние пользователи Малый и средний бизнес

Linux-ботнет SSHStalker старомоден: C2-коммуникации только по IRC

Специалисты по киберразведке из Flare обнаружили Linux-ботнет, операторы которого отдали предпочтение надежности, а не скрытности. Для наращивания потенциала SSHStalker использует шумные SSH-сканы и 15-летние уязвимости, для C2-связи — IRC.

Новобранец пока просто растет, либо проходит обкатку: боты подключаются к командному серверу и переходят в состояние простоя. Из возможностей монетизации выявлены сбор ключей AWS, сканирование сайтов, криптомайнинг и генерация DDoS-потока.

Первичный доступ к Linux-системам ботоводам обеспечивают автоматизированные SSH-сканы и брутфорс. С этой целью на хосты с открытым портом 22 устанавливается написанный на Go сканер, замаскированный под опенсорсную утилиту Nmap.

В ходе заражения также загружаются GCC для компиляции полезной нагрузки, IRC-боты с вшитыми адресами C2 и два архивных файла, GS и bootbou. Первый обеспечивает оркестрацию, второй — персистентность и непрерывность исполнения (создает cron-задачу на ежеминутный запуск основного процесса бота и перезапускает его в случае завершения).

Чтобы повысить привилегии на скомпрометированном хосте, используются эксплойты ядра, суммарно нацеленные на 16 уязвимостей времен Linux 2.6.x (2009-2010 годы).

Владельцы SSHStalker — предположительно выходцы из Румынии, на это указывает ряд найденных артефактов.

Исследователи также обнаружили файл со свежими результатами SSH-сканов (около 7 тыс. прогонов, все за прошлый месяц). Большинство из них ассоциируются с ресурсами Oracle Cloud в США, Евросоюзе и странах Азиатско-Тихоокеанского региона.