Массовая операция по эксплуатации веб-уязвимостей, которую исследователи приписывают китайскоязычному actor, в июне 2026 года привела к компрометации тысяч WordPress-сайтов. О кампании стало известно благодаря данным, опубликованным на платформе Hunt.io. По оценке аналитиков, речь идет не о разрозненных атаках, а о тщательно спланированной и масштабной кампании, нацеленной на массовое получение первоначального доступа к веб-приложениям.
Масштаб кампании
По данным расследования, злоумышленники провели более 850 000 попыток эксплуатации против свыше 442 000 пар «уязвимость-сайт». В результате было выявлено 25 195 уникальных сайтов, для которых обнаружены подтвержденные или проверенные признаки компрометации.
Основной вектор атаки был сосредоточен на веб-приложениях, прежде всего на WordPress plugins, а также на других популярных content management systems, включая Joomla и PrestaShop. Для проникновения использовались уже известные CVE и экспозиции, которые позволяли получить первоначальный доступ без сложных цепочек эксплуатации.
Какие уязвимости использовались
Исследователи выделяют несколько ключевых категорий атак:
- arbitrary file upload — произвольная загрузка файлов;
- Remote Code Execution — выполнение кода на удаленной стороне;
- эксплуатация широко используемых plugins, включая Breeze Cache, ThemeREX Addons и Gravity Forms;
- атаки на платформы Joomla и PrestaShop через уязвимые компоненты и расширения.
Среди наиболее заметных CVE фигурируют CVE-2026-48907 (Joomla JCE), CVE-2026-31843 (Pay-UZ) и CVE-2025-7852 (WPBookit). Именно они обеспечили несанкционированную эксплуатацию ряда платформ и стали ключевыми точками входа для дальнейшего развития атаки.
Тактика компрометации
Актор использовал достаточно продвинутые методы первичной компрометации. В эксплойтах прослеживаются характерные шаблоны, указывающие на системный подход к автоматизации атак. В частности, злоумышленники:
- загружали вредоносные PHP-файлы, маскируя их под легитимный контент, включая изображения;
- выполняли удаленные команды через функции обработки файлов;
- развертывали пользовательские инструменты эксплуатации для ускорения и масштабирования атак;
- использовали скрипты настройки параметров в различных exploit frameworks.
Отдельное внимание аналитики уделили модификациям, направленным на повышение эффективности сканирования: менялись параметры потоков, а также уточнялись шаблоны поиска уязвимостей. Это указывает на стремление злоумышленника не просто эксплуатировать отдельные сайты, а выстроить максимально производительный конвейер массового поиска и компрометации целей.
Пост-эксплуатация и инструменты закрепления
После получения доступа применялись разные техники post-exploitation, включая установку web shells и извлечение файлов, контролируемых злоумышленником. Наиболее заметный web shell получил название down.php. По данным исследования, он обладает расширенными возможностями для:
- полного контроля над системой;
- выполнения произвольных команд;
- массового управления файлами;
- дальнейшего закрепления на скомпрометированном хосте.
Для обеспечения устойчивого доступа использовались и другие инструменты, включая Godzilla web shell. Кроме того, в разведке применялся FOFA, что подтверждает заранее подготовленный и технически зрелый характер кампании.
Лингвистическая атрибуция и возможная принадлежность
Атрибуция кампании строится, в частности, на лингвистическом анализе скриптов. Исследователи отмечают уверенное использование simplified Chinese, что указывает на участие китайскоязычного актора. Дополнительно на связь с определенными группами указывают наборы инструментов и операционные методы, сходные с уже известными моделями поведения в подобных атаках.
В отчете подчеркивается, что совокупность признаков — от структуры скриптов до набора применяемых инструментов — позволяет говорить не об импровизированной активности, а о целенаправленной и хорошо организованной операции.
Что это значит для веб-безопасности
Эта кампания еще раз демонстрирует, что массовая эксплуатация давно известных уязвимостей остается одной из самых эффективных моделей атак против веб-инфраструктуры. Особенно уязвимыми оказываются популярные plugins и CMS, где задержки с обновлением могут привести к быстрой компрометации большого числа сайтов.
Исследователи делают очевидный вывод: организациям необходимо постоянно отслеживать CVE, оперативно обновлять WordPress и его расширения, а также внимательно контролировать признаки загрузки посторонних файлов и появления web shell-активности. В противном случае даже широко известные уязвимости способны превратиться в инструмент массового взлома.
«Данная кибероперация демонстрирует эксплуатацию широко известных уязвимостей на нескольких веб-платформах, с четким акцентом на plugins WordPress и популярные content management systems», — следует из материалов расследования.
Таким образом, инцидент в июне 2026 года стал еще одним подтверждением того, что устойчивые угрозы веб-безопасности сохраняются на высоком уровне, а массовая эксплуатация CVE остается одним из главных рисков для публичных веб-сервисов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Массовая эксплуатация WordPress-уязвимостей: атакованы тысячи сайтов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.