مهاجمان در موج جدیدی از حملات، نزدیک به سیصد سایت وردپرس را برای نمایش اعلانهای رمزگذاری جعلی هک کردهاند.
وردپرس گرفتار حملات باجافزاری شد
مرکز مدیریت راهبردی افتا , 2 آذر 1400 ساعت 15:03
مهاجمان در موج جدیدی از حملات، نزدیک به سیصد سایت وردپرس را برای نمایش اعلانهای رمزگذاری جعلی هک کردهاند.
مهاجمان در موج جدیدی از حملات، نزدیک به سیصد سایت وردپرس را برای نمایش اعلانهای رمزگذاری جعلی هک کردهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مهاجمان در موج جدیدی از حملات، نزدیک به سیصد سایت وردپرس را برای نمایش اعلانهای رمزگذاری جعلی هک کردهاند.به نقل از مرکز مدیریت راهبردی افتا، این درخواستهای باجخواهی همراه با یک تایمر شمارش معکوس ارائه میشود تا احساس فوریت را القا کند و احتمالاً مدیر سایت را برای پرداخت باج دستپاچه کند.
این در حالی است که مقدار باج ۰,۱ بیتکوین (تقریباً معادل ۰۶۹.۲۳.۶ دلار) در مقایسه با آنچه در حملات باجافزارهای شناختهشده و باسابقه میبینیم، چندان قابلتوجه نیست، اما هنوز هم میتواند برای بسیاری از صاحبان سایتها مقدار قابلتوجهی باشد.
این حملات که توسط شرکت امنیت سایبری Sucuri بررسیشده است. آنها دریافتند که سایتها رمزگذاری نشدهاند، بلکه مهاجمان یک افزونه (Plugin) نصبشده در WordPress را جهت نمایش یادداشت اطلاعیه باجگیری (Ransom Note) و شمارش معکوس تغییر دادهاند.
معمولاً وقتی باجافزار، فایلهای سایت را مورد رمزگذاری قرار میدهد، پسوند آنها را به lock. یا چیزی مشابه این تغییر میدهد و دیگر فایلهای رمزگذاری شده، قابل خواندن نیستند؛ اما در این حملات اینطور نیست. اخطار باج کاملاً ساختگی بود. هیچ فایلی رمزگذاری نشده بود! این یک صفحه HTML ساده بود که تنها توسط یک افزونه جعلی تولید شده بود و نه چیزی بیشتر.
برای تولید ساعت شمارش معکوس نیز از تعدادی اسکریپت PHP اولیه استفاده شده است.
برای حذف این آلودگی، تنها باید افزونه را از directory wp-content/plugins حذف کرد. بااینحال، هنگام مراجعه به صفحه اصلی سایت، در همه صفحات و پستهای آنها، خطای ۴۰۴ Not Found مشاهده میشود. دلیل این امر آخرین قطعه از افزونه مخرب است.
علاوه بر نمایش اطلاعیه باجگیری، مهاجمان با دستکاری یکی از دستورات اولیه SQL، یعنی با تغییر گزینه "Post_status"، تمام پستها و صفحات وبلاگ WordPress را از "publish" به ""null تغییر میدهند که منجر میشود آنها به وضعیت "منتشرنشده" بروند. با اعمال این تغییر، همه محتواها هنوز در پایگاهداده هستند، فقط قابلمشاهده نیستند! این در حالی است که مهاجمان با تغییر وضعیت صفحات سایت و انتشار اطلاعیه باجگیری، این را به قربانیان القاء کردهاند که سایت آنها رمزگذاری شده است.
این دستور را میتوان با یک دستور SQL بهآسانی همانند آنچه در زیر نمایشدادهشده، معکوس کرد. با این کار هر محتوایی که در پایگاهداده بهصورت null علامتگذاری شده است، به حالت قبل برگشته و منتشر میشود.
بنابراین با حذف افزونه و اجرای دستور بازنشر پستها و صفحات، سایت به وضعیت عادی خود برمیگردد.
پس از تحلیل بیشتر گزارشهای ترافیک شبکه، محققان Sucuri دریافتند که اولین نقطهای که آدرس IP مهاجمان در آن مشاهده میشود، پنل wp-admin است. این بدان معنی است که مهاجمان بهعنوان سرپرست سایت از طریق اجرای حملات موسوم به Brute-Force یا بهواسطه جستجو در بازارهای Dark Web جهت دستیابی به اطلاعات اصالتسنجی سرقت شده، در سایت وارد شدهاند.
به نظر میرسد این یک حمله انفرادی نبوده، بلکه به نظر میرسد بخشی از کارزاری گستردهتر باشد.
افزونهای که محققان Sucuri در این حملات مشاهده کردند، افزونه Directorist بوده که ابزاری برای ایجاد فهرستی در فهرستهای کسبوکار آنلاین (online business directories) موجود در سایتها است.
این محققان تقریباً ۲۹۱ سایت را که تحت تأثیر این حملات قرار گرفته بودند، شناسایی کردهاند. سایتهای متأثر از این حمله در نشانی زیر، در موتور جستجوی Google، نشاندادهشده است. بعضی از این سایتها، عملیات پاکسازی را انجام دادهاند، ولی در برخی دیگر هنوز اطلاعیههای باجگیری قابل نمایش است.
https://www.google.com/search?q=%E۲%۸۰%۹CFOR+RESTORE+SEND+۰,۱+BITCOIN%E۲%۸۰%۹D
به نقل از سایت اینترنتی BleepingComputer، همه سایتهایی که در نتایج جستجو نشانی بالا، مشاهده میشوند با استناد به لینک زیر از آدرس بیتکوین ۳BkiGYFh۶QtjtNCPNNjGwszoqqCka۲SDEc استفاده میکنند که تاکنون هیچ باجی دریافت نکرده است.
https://www.blockchain.com/btc/address/۳BkiGYFh۶QtjtNCPNNjGwszoqqCka۲SDEc
محققان Sucuri اقدامات امنیتی زیر را برای محافظت از سایتهای WordPress در برابر هک شدن پیشنهاد میکنند:
- کاربران با سطح دسترسی ممتاز بررسی شوند، هرگونه حساب غیرمجاز حذف شده و در ضمن تمامی رمزهای عبور wp-admin را تغییر داده و بهروز شود.
- سامانه wp-admin ایمن شود.
- سایر رمزهای عبور پودمانهای دسترسی (پایگاهداده، FTP، cPanel و غیره) تغییر داده شود.
- سایت پشت فایروال (Firewall) قرار گیرد.
با بهکارگیری روشهای پشتیبانگیری مطمئن، بهطور منظم نسخههای پشتیبان تهیه شود تا در صورت وقوع رمزگذاری واقعی، عملیاتترمیم و بازیابی بهآسانی قابل انجام باشد.
علاوهبر این، ازآنجاییکه WordPress معمولاً توسط مهاجمان مورد هدف قرار میگیرد، همواره از بهروز بودن نسخههای افزونههای نصبشده در WordPress اطمینان حاصل شود.
کد مطلب: 18523