ClickFix и KongTuke: WordPress стал платформой кибератак

Специалисты по кибербезопасности раскрыли масштабную вредоносную кампанию, связанную с панелью управления KongTuke, которая была обнаружена 1 апреля и оказалась не защищена аутентификацией. Это открытие позволило зафиксировать широкий спектр киберпреступной активности, построенной на скомпрометированных WordPress-сайтах и направленной как на распространение вредоносного ПО, так и на DDoS-атаки.

ClickFix через WordPress: как строилась инфраструктура

По данным отчета, злоумышленники выстраивали инфраструктуру для доставки ClickFix через скомпрометированные сайты WordPress. В этой схеме ключевую роль играли вредоносные плагины WordPress, которые использовались как точка входа и как механизм последующего выполнения вредоносного кода.

Перед развертыванием вредоносного контента атакующие проводили проверки, позволяющие:

• перечислять сайты WordPress;
• выявлять соответствующие конфигурации cPanel;
• оценивать пригодность среды для дальнейшей эксплуатации.

После компрометации сайты были настроены на выполнение HTTP-запросов к внешним доменам, включая windlrr.com и nitzschi.com, что обеспечивало загрузку и запуск вредоносного ПО.

Жертвы и цели: от TGI Fridays до правительственных сайтов

Среди заметных целей атаки оказались бренд TGI Fridays и правительственные сайты Бразилии. Эти ресурсы, как отмечается в отчете, подвергались атакам с целью истощения ресурсов и нарушения доступности сервисов.

Отдельное внимание было уделено попыткам атак на конкурентные киберпреступные операции. В частности, злоумышленники стремились перегрузить сервис стиллера, обнаруженный по адресу grabber.cy, используя непрерывный поток запросов.

Попытки создать ботнет на базе Mirai

Исследование показывает, что злоумышленники пытались создать ботнет, опираясь как минимум на 216 скомпрометированных сайтов WordPress. Эта инфраструктура использовалась для организации HTTP-flood-атак против конкурентов.

Поведение вредоносного ПО включало загрузку архитектурно-специфичных бинарных файлов с именем «FuckYou» из открытых панелей C2. По своим возможностям эти компоненты напоминали Mirai, что указывает на попытку использовать известные ботнет-механизмы в новой атакующей цепочке.

Методы уклонения и признаки профессиональной подготовки

Операция ClickFix отличалась сложностью и набором мер, направленных на сокрытие следов. В частности, злоумышленники использовали browser fingerprinting, чтобы различать реальных пользователей и автоматизированный трафик. Такой подход повышал шансы на уклонение от анализа и затруднял обнаружение вредоносной активности.

Кроме того, каждый этап кампании опирался на стандартные команды и скрипты, распределенные по скомпрометированным серверам. Это дополнительно осложняло отслеживание всей цепочки до инфраструктуры атакующего.

Домены windlrr.com и nitzschi.com были неотъемлемой частью цепочки доставки ClickFix.

MITRE ATT&CK: какие техники применялись

С точки зрения фреймворка MITRE ATT&CK в кампании прослеживается несколько характерных техник. Актеры продемонстрировали навыки в:

• приобретении доменов;
• выполнении JavaScript через скомпрометированные сайты;
• манипулировании целевыми средами для облегчения атак;
• разведке, включая перечисление каталогов и конфигураций системы;
• использовании распределенной инфраструктуры для достижения существенного нарушения работы сервисов.

В совокупности эти действия демонстрируют высокий уровень подготовки и координации. Использование скомпрометированных WordPress-хостов, открытых C2-панелей, внешних доменов доставки и механик уклонения от анализа указывает на многоступенчатую кампанию, ориентированную как на распространение вредоносного ПО, так и на проведение ресурсно-истощающих атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.