锁定WordPress网站的攻击行动不时传出,大多是针对插件的漏洞而来,藉此入侵网站,并植入恶意程序进行控制,但最近有一起攻击行动相当不同,骇客将计就计,反过来以此引诱管理者上当,他们谎称网站有漏洞,要管理者尽快套用「修补程序」。
值得留意的是,虽然黑客煞有其事地指出网站漏洞CVE编号,但其实是完全不存在的漏洞,对方也未提供进一步的细节,留下破绽; 然而若是网站管理者一时不察,还是很有可能落入圈套,被诱骗安装恶意软件。
声称网站有漏洞,并列出CVE编号
安全业者Wordfence、PatchStack提出警告,他们发现黑客锁定WordPress网站的管理者,发送钓鱼邮件,声称侦测到网站存在漏洞,有可能让攻击者远程执行任意程式码(RCE),导致网站及使用者的资料外流,呼吁管理者套用CVE-2023-45124的修补程序。
收信人若一时不察,未验证此信息的可信度,就傻傻地依此指示点击下载插件(Plugin)的按钮,就会被带往冒牌WordPress网站en-gb-wordpress[.] org,若是管理者将黑客提供的插件部署于网站上,该插件将会新增恶意管理员帐号wpsecuritypatch,并将网站URL及密码打包回传C2,然后于网站植入后门程序wpgate[.] zip,使得黑客能持续控制受害网站。
值得留意的是,上述插件会隐匿恶意管理者账号,网站管理员难以察觉其踪迹。 PatchStack研究人员发现,黑客为了取信网站管理者,在插件程序的留言区列出了多则假评论,并且将Automattic公司的知名人士列为开发人员。
拥有看似正常安装流程的「修补程序」
PatchStack对于黑客提供的「修补程序」进行分析,一旦网站管理者从该网站下载,将会取得带有CVE编号名称的ZIP压缩文件(如cve-2023-45124.zip),但研究人员指出,根据骇客使用的钓鱼网域不同,他们也看到其他文件名称的ZIP文件。
网站管理者若是将其在网站上安装并启用,WordPress的管理界面便会显示「CVE-2023-45124已成功修补」的消息,骇客还「呼吁」管理者,与其他可能受到该漏洞影响人士分享「修补程序」,希望藉由上当的管理者来进一步散布恶意软件。
但在上述的过程背后,这个恶意插件先是建立具有管理员权限的账号wpsecuritypatch,并为设置随机密码; 接着向攻击者的服务器发送HTTP GET请求,在其中一起攻击行动里,对方利用包含Base64编码资料的wpgate[.] zip/wpapi,并搭配网站查询参数,传送网址、前述建立的管理员账号及密码。
攻击者再向wpgate[.] zip/runscan发送HTTP GET请求,并得到Base64编码的数据回传,然后在恶意插件里进行解码,企图将其内容植入名为wp-autoload.php的文件。 最终此插件程序将自己隐藏起来,并将上述产生的管理者账号也进行隐匿。
研究人员分析了恶意代码的内容,并指出黑客在注解说明了其中的用途。
经过前述的步骤,骇客已制作名为wp-autoload.php的后门程序,并能将其用于后续的攻击行动,而有可能在网站上注入广告、将用户重新导向恶意网站、集结其他被植入后门程序的网站发动DDoS攻击、窃取帐务信息,或是让骇客向管理者勒索。
