La semaine dernière, nous avons couvert un vulnérabilité dans le plugin File Manager installé sur plus de 700 000 sites WordPress. Le vendredi 4 septembre 2020, nous avons enregistré attaques contre plus de 1,7 million de sites, et aujourd’hui, le 10 septembre 2020, le nombre total de sites attaqués est passé à plus de 2,6 millions. Nous avons vu des preuves de la participation de plusieurs acteurs de la menace à ces attaques, y compris des efforts mineurs de l’acteur de la menace auparavant responsable d’attaquer des millions de sites, mais deux attaquants ont le plus réussi à exploiter des sites vulnérables, et pour le moment, les deux attaquants protègent par mot de passe les copies vulnérables du connector.minimal.php fichier.

Un lève-tôt qui vole des mots de passe

Notre équipe de nettoyage de site a trouvé de nombreux indicateurs selon lesquels la plus active de ces attaques est le travail d’un acteur marocain de la menace connu sous le nom de «bajatax» qui a historiquement volé des informations d’identification sur les sites PrestaShop. Ces indicateurs incluent des fichiers simples contenant uniquement la chaîne «bajatax» ainsi que des modifications de la vulnérabilité d’origine connector.minimal.php fichier conçu pour verrouiller tous les autres attaquants, contenant un $content="by bajatax” ligne de code. Les journaux des sites infectés indiquent que ces fichiers sont ajoutés par certaines des IP attaquantes les plus actives, et nous avons pu vérifier que cet acteur de la menace est à l’origine du hardfork.php et hardfile.php CIO mentionnés dans notre message initial. Cet attaquant a été le premier à attaquer cette vulnérabilité à grande échelle.

Une fois qu’un site est infecté, l’attaquant «bajatax» ajoute un code malveillant qui utilise l’API de Telegram Messenger pour exfiltrer les informations d’identification de tout utilisateur se connectant au site. Ce code est ajouté au cœur de WordPress user.php fichier. Si WooCommerce est installé, le wc-user-functions.php et class-wc-form-handler.php Les fichiers seront également modifiés pour exfiltrer les informations d’identification des utilisateurs. Ces informations d’identification pourraient ensuite être revendues ou utilisées pour accéder à d’autres comptes en utilisant les mêmes informations d’identification.

Nous avons trouvé des IOC de cet acteur de la menace sur un nombre important de sites. Malgré les efforts de cet attaquant pour verrouiller d’autres hackers, ils n’ont pas toujours réussi à mettre le pied dans la porte en premier, mais nous les avons vus faire des tentatives régulières de mettre à jour les mots de passe des deux personnes vulnérables. connector.minimal.php et sur d’autres fichiers qu’ils ont ajoutés pour permettre une capacité de téléchargement supplémentaire, tout en laissant la fonctionnalité de récupération des informations d’identification en place qui envoie systématiquement au même ID de chat Telegram de 1110165405.

Notre équipe de Threat Intelligence a travaillé d’arrache-pied pour ajouter des signatures de logiciels malveillants pour détecter les indicateurs de compromission par l’acteur de la menace bajatax, et ceux-ci ont été disponibles pour Wordfence Premium utilisateurs à partir du 8 septembre 2020. Ces signatures seront publiées sur les sites utilisant toujours la version gratuite de Wordfence après 30 jours, à compter du 8 octobre 2020.

Un deuxième attaquant dispersant les portes dérobées

Les indicateurs de compromis les plus répandus que nous avons trouvés sont un infecteur, feoidasf4e0_index.php, avec un hachage MD5 de 6ea6623e8479a65e711124e77aa47e4c, et une porte dérobée insérée par cet infecteur. Dans ce cas, nous fournissons le hachage MD5 car ce fichier est extrêmement cohérent et, en tant que tel, le MD5 peut être un indicateur utile de compromis.

Cet attaquant utilise le mkfile méthode décrite dans notre article initial plutôt que le upload méthode privilégiée par l’acteur de la menace «bajatax». Cet attaquant ajoute également une protection par mot de passe aux personnes vulnérables connector.minimal.php fichier dans le but de verrouiller d’autres attaquants, bien que nos données d’attaque indiquent que cet acteur de la menace utilise un mot de passe cohérent.

le feoidasf4e0_index.php file insère deux copies de la deuxième porte dérobée avec des noms de fichiers aléatoires se terminant par _index.php chaque fois qu’il est accédé. Une copie est placée dans la racine Web et une dans un dossier inscriptible aléatoire sur le site. Les deux portes dérobées ont le même MD5 de 3f60851c9f7e37c0d8817101d2212c68. Bien que la porte dérobée en question soit utilisée depuis plusieurs années, le fait que plusieurs copies puissent être dispersées sur un site infecté aiderait cet attaquant à maintenir sa persistance en l’absence d’une solution d’analyse approfondie. Nous avons également vu des copies supplémentaires de cette porte dérobée avec différents hachages MD5 ajoutés par cet attaquant; ce sont simplement les variantes les plus courantes.

Une fois ces portes dérobées en place, l’attaquant les utilise pour apporter des modifications supplémentaires aux fichiers WordPress de base, dans certains cas en utilisant un code obscurci pour inclure des portes dérobées séparées déguisées en .ico des dossiers. Alors que la prévalence de la feoidasf4e0_index.php semble être en déclin, les portes dérobées secondaires ajoutées par ce fichier sont toujours extrêmement courantes, indiquant que cet attaquant a réussi à atteindre un certain degré de persistance.

le feoidasf4e0_index.php Le fichier lui-même semble être une version très légèrement modifiée d’un infecteur utilisé dans les campagnes précédentes qui ajoutaient principalement des cryptomineurs et du spam SEO à divers sites.Il s’agit donc de voies de monétisation viables pour cet acteur de la menace, bien qu’elles puissent également simplement louer l’accès à un botnet de sites infectés sous leur contrôle.

Les autres acteurs abondent

Notre équipe de nettoyage de site a nettoyé un certain nombre de sites compromis par cette vulnérabilité et, dans de nombreux cas, des logiciels malveillants provenant de plusieurs acteurs de la menace sont présents. Les acteurs de la menace susmentionnés ont été de loin les plus performants en raison de leurs efforts pour verrouiller d’autres attaquants et utilisent collectivement plusieurs milliers d’adresses IP dans leurs attaques. Néanmoins, nous avons vu des attaques contre cette vulnérabilité à partir de plus de 370 000 adresses IP distinctes.

Il n’y a eu pratiquement aucun chevauchement entre les adresses IP ajoutant et accédant au feoidasf4e0_index.php et les adresses IP ajoutant et accédant aux fichiers bajatax «hardfork». La seule exception est l’IP 51.83.216.204, qui semble être un tiers qui vérifie de manière opportuniste la présence de ces deux portes dérobées, puis tente d’ajouter sa propre porte dérobée, sans grand succès. Au fur et à mesure que de plus en plus d’utilisateurs mettent à jour ou suppriment le plugin File Manager, le contrôle de tout site infecté sera probablement partagé entre ces deux acteurs de la menace.

Conclusion

Dans l’article d’aujourd’hui, nous avons discuté des infections les plus courantes que nous constatons sur les sites où la vulnérabilité du gestionnaire de fichiers a été exploitée, ainsi que des principaux acteurs impliqués. Nous avons également réussi à associer au moins l’un des attaquants à un acteur de la menace connu et à déterminer les voies probables de monétisation. Si vous ou quelqu’un que vous connaissez avez installé une version vulnérable du plug-in File Manager, nous vous invitons à analyser votre site à la recherche de logiciels malveillants à l’aide d’une solution de sécurité telle que Wordfence. Si votre site a été compromis par l’acteur de la menace «bajatax», il est essentiel que vous nettoyiez complètement votre site avant de contacter tous vos utilisateurs et de les informer que leurs informations d’identification ont peut-être été compromises, en particulier si vous exploitez un site de commerce électronique .


Source link