محققان بیت دیفندر نسخه جدیدی از اسکنر آسیب پذیری که قبلاً نیز شناخته شده بود را شناسایی کرده اند که به دنبال نقص خاصی در افزونه “Ultimate GDPR & CCPA Compliance Toolkit” برای وردپرس است.

همیشه آسیب پذیری های روز صفر تمام توجه را به خود جلب می کنند، اما آسیب پذیری های قبل تر بیشترین مسائل امنیتی را ایجاد می کنند. این نقص ها از قبل شناسایی شده اند و بسیاری از آنها در حال حاضر دارای وصله های امنیتی هستند. مشکل این است که مردم و شرکتها سیستم یا نرم افزار خود را به روز نمی کنند و به مهاجمان راه ورود می دهند.

این ربات اسکنر آسیب پذیری که در Golang نوشته شده است، افزونه “Ultimate GDPR & CCPA Compliance Toolkit” را برای وردپرس هدف قرار داده است. این افزونه خاص دارای یک آسیب پذیری حیاتی است که به مهاجمان اجازه می دهد ترافیک را به یک وب سایت مخرب هدایت کنند.

چرا افزونه های وردپرس؟

وردپرس، بزرگترین پلت فرم در نوع خود است و از پلاگین های بی شماری پشتیبانی می کند. مدولار بودن آن باعث رشد آن شده اما همچنین دلیلی است که مهاجمان اغلب آن را هدف قرار می دهند. افزونه های آسیب پذیر و بدون وصله یک مشکل جدی امنیتی ایجاد می کنند و یک معدن طلا برای مجرمان هستند.

افزونه “Ultimate GDPR & CCPA Compliance Toolkit” اجازه می دهد تا وب سایت ها از قوانین دقیق “مقررات عمومی حفاظت از داده ها” در اروپا پیروی کنند. عدم رعایت این آیین نامه صاحبان وب سایت را در معرض جریمه های هنگفتی قرار می دهد.

وقتی محققان این آسیب پذیری را در افزونه “Ultimate GDPR & CCPA Compliance Toolkit” یافتند که این افزونه حدود 6000 فروش داشته است. هر کسی که از نسخه 2.4 یا پایین تر استفاده کند در معرض این آسیب پذیری قرار دارد. تیم توسعه دهنده این مسئله را در تاریخ 28 ژانویه 2021 برطرف کرد. به زبان ساده، اگر وب سایت هایی که از این پلاگین استفاده می کنند به روز نشوند، مستعد حملات هستند.

این بدافزار چگونه کار می کند؟

این بدافزار یک ربات است که صفحه اول وب سرویس را بازیابی می کند و به دنبال رشته های خاصی می گردد. این رشته ها مربوط به دامنه های کنترل شده توسط مهاجم است. حضور آنها نشان می دهد که هدف قبلاً آلوده شده است.

بخش زیر از تابع main.make_ct_ultimate_gdpr اعتبارسنجی انجام شده قبل از شروع بهره برداری را نشان می دهد:

بدافزار وردپرس golan bot

دامنه های کنترل شده توسط مهاجم:

travelfornamewalking[.]ga
lovegreenpencils[.]ga
linetoadsactive[.]ga
lowerthenskyactive[.]ga
transandfiestas[.]ga
strongcapitalads[.]ga
talkingaboutfirms[.]ga
daryinformtrand[.]com
dontkinhooot[.]tw
declarebusinessgroup[.]ga

همانطور که توضیح داده شد، این آسیب پذیری به مهاجم اجازه می دهد تا تنظیمات را بازنویسی کند.

بدافزار وردپرس golan bot

در کمپین های قبلی که توسط این بدافزار اجرا می شد، زنجیره ای که از طریق آن یک نمونه وردپرس به خطر می افتد بازدید کنندگان را به سمت صفحات مخرب سوق می داد:

بدافزار وردپرس golan bot

جریان معمول بهره برداری در مبارزات قبلی

  • ربات C2 را برای یک دامنه هدف جستجو می کند
  • ربات هدف را برای آسیب پذیری اسکن کرده و گزارشات را به C2 ارسال می کند
  • در برخی موارد ، ربات با استفاده از تزریق داده ها ، هدف را به خطر می اندازد و بهره برداری را آغاز می کند
  • بازدید کنندگان سایت مورد نظر اسکریپت ارائه شده توسط مهاجم را اجرا می کنند و به یک وب سایت مخرب هدایت می شوند

به عنوان مثال ، بازیگر یک اسکریپت خارجی را به صفحه فهرست تزریق می کند (نمونه: d492dd3608741c9128eb5a8dfc1ae688b63bfe8daf9ecaa3ca784aa654a92ef8):

بدافزار وردپرس golan bot

زنجیره هدایت هایی که بازدید کننده را از اسکریپت تزریق شده اولیه به وب سایت مخرب هدایت می کند به راحتی قابل پیگیری است:

بدافزار وردپرس golan bot

این بار، این آسیب پذیری مهاجم را قادر می سازد بدون اقدامات اضافی به همان هدف برسد.

بدافزار وردپرس golan bot

براساس رفتارهای قبلی بدافزار می توانیم ادعا کنیم که هدف احتمالی آلوده کردن وب سایت ها و هدایت بازدیدکنندگان به صفحات مخرب است.

خوشبختانه، چند شاخص سازش می تواند به ما کمک کند تا آن را راحت تر شناسایی کنیم.

IOC ها

هش:

b8aa5b2d7a9febcbca31a6efd3327319c2efe4857e082e65f1333caf65b4f3be (ربات اسکنر)
4277afc7be775bdad3b7c1be0e793401f79136c120cb667c00b55bec2d23a07e (ربات اسکنر)
15117f2d1783063f26c58d1c0ea755d952facbf12e7fd8efc077a0a2780e5906 (بایگانی)
d492dd3608741c9128eb5a8dfc1ae688b63bfe8daf9ecaa3ca784aa654a92ef8 (متن)

شاخص های شبکه:

lovegreenpencils[.[ga
travelfornamewalking[.]ga
linetoadsactive[.]ga
lowerthenskyactive[.]ga
transandfiestas[.]ga
strongcapitalads[.]ga
talkingaboutfirms[.]ga
daryinformtrand[.]com
dontkinhooot[.]tw
declarebusinessgroup[.]ga
195.2.71.173:4112