À partir du 28 avril, nous avons constaté une augmentation de 30 fois le volume d’attaques de script intersite, provenant d’un seul attaquant et ciblant plus d’un million de sites WordPress. nous recherche publiée détaillant l’acteur de la menace et l’augmentation du volume d’attaque le 5 mai. Au moment où nous avons publié, le volume d’attaque était retombé aux niveaux de base.

Au 11 mai 2020, les attaques de ce même acteur menaçant se sont à nouveau intensifiées et se poursuivent. Cet attaquant a attaqué plus de 1,3 million de sites au cours du dernier mois. Au 12 mai 2020, les attaques de cet acteur de la menace avaient a dépassé toutes les autres attaques ciblant les vulnérabilités de l’écosystème WordPress.

Le tableau ci-dessous décrit le volume d’attaque que nous voyons.

Attaques de cet acteur menaçant contre toutes les autres sources
Ces attaques ciblent les mêmes vulnérabilités que la vague précédente, en mettant l’accent sur les vulnérabilités XSS plus anciennes. De plus, nous avons pu associer cet acteur de la menace à attaques décrites précédemment depuis le 9 février 2020.

Une histoire d’attaques

Notre équipe Threat Intelligence a pu lier cet acteur de la menace aux attaques précédentes avec des charges utiles hébergées sur des domaines: collectfasttracks[.]com et destinyfernandi[.]com.

Nos journaux montrent que cet attaquant a augmenté le volume d’attaque, maintenu l’attaque sur une période de deux jours, puis réduit le volume à un filet. Chacune de ces surtensions a progressivement augmenté de volume à mesure que l’attaquant devient plus agressif.

Les premières attaques contenant le destinyfernandi[.]com la charge utile s’est produite les 9 et 10 février 2020 et ciblée sur 200 000 sites avec 3,8 millions de demandes.

Les 14 et 15 mars 2020, des attaques contenant le collectfasttracks[.]com la charge utile a augmenté et ciblé sur 500 000 sites avec plus de 7 millions de demandes. Il s’agit d’un doublement approximatif du volume d’attaques et du nombre de sites ciblés de février à mars.

Qu’est ce qui a changé?

Les attaques précédentes semblaient espacées d’environ un mois et avaient un volume beaucoup plus faible. Comparativement, les 30 derniers jours ont vu 4 attaques de taille croissante, ciblant cumulativement sur 1,3 million de sites.

Bien que cet acteur de la menace ne cible pas différentes vulnérabilités, la nouvelle vague d’attaques héberge la charge utile initiale du malware sur un domaine différent:

https://css[.]digestcolect[.]com/stm

Le script hébergé sur le nouveau domaine est similaire à celui précédemment hébergé sur count[.]trackstatisticsss[.]com.

Il y a quelques changements qui indiquent que l’attaquant affine sa technique. Ils ont corrigé un bogue dans la version précédente de leur porte dérobée PHP qui l’empêchait d’être utilisable sur la plupart des sites. Ils ont également ajouté deux variantes de porte dérobée supplémentaires, dont l’une est similaire à la porte dérobée utilisée lors d’une campagne d’attaque précédente.

La capture d’écran ci-dessous contient trois morceaux de code PHP, chacun commençant par un étiquette. Il s'agit de trois variantes de logiciels malveillants distinctes que l'attaquant intègre dans les sites infectés. Le premier charge le code du domaine de l'attaquant et les deuxième et troisième variantes de logiciels malveillants permettent à l'attaquant d'exécuter manuellement du code malveillant en envoyant une demande contenant un mot de passe et des données codées à exécuter.

Backdoors PHP partiellement désobfusqués
* Les variantes de la porte dérobée PHP de cette capture d'écran ont été partiellement désobfusquées pour plus de lisibilité

Lorsque l'ancienne porte dérobée a tenté d'exécuter la charge utile située à https://stat[.]trackstatisticsss[.]com/n.txt, il a essayé d'utiliser le PHP include() pour inclure le code source de la charge utile. C'était un bug car include() attend un fichier. Les attaquants auraient dû inclure le fichier temporaire contenant la charge utile. Nous avons repéré ce bogue lors de nos recherches précédentes, mais nous avons négligé de le mentionner dans notre article précédent afin d'éviter de signaler des bogues aux auteurs de logiciels malveillants.

L'acteur de la menace a maintenant corrigé ce bogue et la porte dérobée actuelle inclut correctement la charge utile située à http://css[.]digestcolect[.]com/m.txt.

Les deux portes dérobées supplémentaires, illustrées dans la capture d'écran ci-dessus, permettent aux attaquants de conserver l'accès au site, même si l'URL de la charge utile est supprimée en raison d'une plainte pour abus.

De nouveaux indicateurs de compromis

Bien que les indicateurs de compromis précédents s'appliquent toujours, la charge utile finale mise à jour utilise également la chaîne suivante pour déterminer si le site est déjà infecté. Il peut le faire car il s'agit du nom de la variable qu'il tente d'insérer dans chaque fichier JavaScript du site infecté:

mndfhghjf

La présence des domaines suivants dans votre base de données ou votre système de fichiers doit être considérée comme un indicateur de compromis:

digestcolect[.]com
trackstatisticsss[.]com
stivenfernando[.]com
collectfasttracks[.]com
destinyfernandi[.]com

Comme pour la plupart des campagnes d'attaque, l'attaquant fait fréquemment pivoter les adresses IP. En ce moment, nous voyons des attaques de ces 10 principales adresses IP attaquantes.

5.187.34.95
91.121.106.106
94.23.3.130
54.36.197.5
46.37.172.252
104.238.222.178
2001:41d0:2:482::
104.236.133.77
2001:41d0:c:c3d::
151.80.25.182

Que devrais-je faire?

Comme pour les attaques précédentes, la majorité des vulnérabilités ciblées sont des failles Cross-Site Scripting (XSS). La protection XSS intégrée du Wordfence Firewall offre une protection contre ces attaques. Néanmoins, nous vous recommandons fortement de mettre à jour tous les plugins ou thèmes obsolètes. Nous vous recommandons également de désactiver et de supprimer tous les plugins installés sur votre site WordPress qui ont été supprimés du référentiel WordPress officiel.

Si vous exécutez le plugin Wordfence, notre scanner vous alertera si vous avez des plugins ou des thèmes avec des vulnérabilités connues, ou qui ont été supprimés du référentiel WordPress. Si vous êtes un client Wordfence Premium, la liste noire en temps réel détectera et bloquera l'accès à votre site à partir de ces adresses IP malveillantes.

Conclusion

Dans l'article d'aujourd'hui, nous avons décrit une autre vague d'attaques à grande échelle contre des sites WordPress et lié ces attaques à des attaques antérieures du même acteur de la menace remontant au début de l'année. Tous les utilisateurs de Wordfence, y compris les sites exécutant la version gratuite de Wordfence, et Wordfence Premium, sont protégés contre ces attaques. Néanmoins, nous recommandons à tous les propriétaires de sites de mettre à jour leurs plugins et thèmes. Nous continuerons de suivre les mouvements de cet acteur de la menace à l'avenir et de partager des informations supplémentaires dès qu'elles seront disponibles.


Source link