11,6 тыс подписчиков

WordPress, MySQL и PostgreSQL и другие платформы подверглись мощным брутфорс-атакам

9 июня 20209 июн 2020

1 мин

Ларри Кешдоллар, ИБ-специалист из Akamai, рассказал о действии вредоносного софта Stealthworker, используемого для подбора паролей к распространённым онлайн-платформам. Потенциально вредонос может атаковать WordPress, cPanel, Drupal и множество других CMS, а также службы MySQL, PostgreSQL, SSH, FTP. Исследователи из Akamai создали ловушку Honeypot, которая представлена в виде установленной WordPress с простым паролем администратора. В результате брутфорс-атаки киберпреступники взломали систему и поставили тему AlternateLite. Также ИБ-специалисты выявили двоичный процесс, который работал в качестве www-user, и существенное увеличение сетевого трафика. AlternateLite – бесплатная тема для WordPress. Ларри Кешдоллар отметил: «Мы не понимаем, почему киберпреступники меняют тему и насколько этот шаг значим, но сегодня ее скачивают постоянно. Также хакеры по какой-то причине поменяли скрипт customizer.php на скрипт загрузки файлов. Подгрузка нетекстовых файлов выполняется с использованием

Ларри Кешдоллар, ИБ-специалист из Akamai, рассказал о действии вредоносного софта Stealthworker, используемого для подбора паролей к распространённым онлайн-платформам. Потенциально вредонос может атаковать WordPress, cPanel, Drupal и множество других CMS, а также службы MySQL, PostgreSQL, SSH, FTP.

Исследователи из Akamai создали ловушку Honeypot, которая представлена в виде установленной WordPress с простым паролем администратора. В результате брутфорс-атаки киберпреступники взломали систему и поставили тему AlternateLite. Также ИБ-специалисты выявили двоичный процесс, который работал в качестве www-user, и существенное увеличение сетевого трафика. AlternateLite – бесплатная тема для WordPress.

Ларри Кешдоллар отметил: «Мы не понимаем, почему киберпреступники меняют тему и насколько этот шаг значим, но сегодня ее скачивают постоянно. Также хакеры по какой-то причине поменяли скрипт customizer.php на скрипт загрузки файлов. Подгрузка нетекстовых файлов выполняется с использованием расширения .moban. Это тоже название темы WordPress с интегрированной функцией загрузки файлов. Вероятно, киберпреступники применили часть ее кода».

После того, как киберпреступники загрузят необходимые файлы, вредоносный софт выполняет подключение к контрольному серверу для получения перечня целей и логинов, а затем начинает сканировать. Брутфорс-атаки выполняются на все серверы, за исключением тех, на которых стоит WordPress.

До начала кибератаки Stealthworker выполняет сбор информации о мишени для генерации перечня вероятных комбинаций логина/пароля. Дополнительно вредоносный софт парсит имена авторов публикаций, email-адреса и другую информацию, в том числе и теги. Затем осуществляется распределенный брутфорс – связки логин/пароль перебираются с различных устройств (это делается для обхода популярных защитных средств от таких кибератак).

Михаил Зайцев, ИБ-эксперт SECConsultServices, отметил: «CMS чаще всего взламывают именно с помощью брутфорс-атак, потому что киберпреступники прекрасно знают, что в больше половине случаев устанавливаются крайне простые пароли администраторов. Stealthworker – эффективный брутфорс-инструмент, которого стоит остерегаться».

Гаджеты и электроника

5,73 млн интересуются