СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.03.2025
#ИБ

Киберугроза: вредоносное ПО в каталоге mu-plugins WordPress

Киберугроза: вредоносное ПО в каталоге mu-plugins WordPress

Источник: blog.sucuri.net

Недавние исследования компании Sucuri выявили настораживающую тенденцию в области кибербезопасности, когда злоумышленники прибегают к использованию каталога mu-plugins в системе WordPress для внедрения различных форм вредоносного программного обеспечения. Это представляет серьезную угрозу для владельцев сайтов, так как означает, что вредоносные коды могут быть активированы без традиционной активации плагинов, что значительно усложняет их обнаружение.

Вредоносные программы в mu-plugins

Исследования выявили три основных типа вредоносного ПО в каталоге mu-plugins:

  • Вредоносное ПО с поддельным обновлением: Эта программа перенаправляет пользователей на вредоносные сайты, маскируя свой код под легитимные системные обновления. Она находится в файле wp-content/mu-plugins/redirect.php.
  • Веб-оболочка: Скрипт в файле ./wp-content/mu-plugins/index.php предоставляет злоумышленникам полный контроль над скомпрометированными сайтами, позволяет выполнять команды, загружать дополнительные вредоносные файлы и красть данные.
  • Скрипт для рассылки спама: Обнаруженный в файле wp-content/mu-plugins/custom-js-loader.php, этот скрипт изменяет содержимое сайта, рассылая спам и разворачивая откровенные материалы, что подрывает репутацию веб-ресурса.

Цели злоумышленников

Общая цель этих атак заключается в:

  • Финансовой эксплуатации за счет манипуляций с контентом и искажения рейтингов в поисковых системах;
  • Сохранении постоянного доступа к скомпрометированным системам;
  • Нанесении ущерба репутации сайтов через перенаправления на вредоносный контент.

Методы проникновения и угрозы

Потенциальные точки проникновения вредоносного ПО включают:

  • Уязвимости в устаревших плагинах или темах;
  • Скомпрометированные учетные данные администратора;
  • Небезопасные условия хостинга из-за слабых конфигураций.

Атаки на каталог mu-plugins демонстрируют четкую стратегию злоумышленников по внедрению вредоносного ПО в установку WordPress для его скрытого использования и долговечности.

Рекомендации по повышению безопасности

Для минимизации рисков администраторам сайтов рекомендовано:

  • Регулярно проверять установки WordPress на наличие вредоносных файлов, особенно в каталоге mu-plugins;
  • Проверять и удалять несанкционированные учетные записи и подозрительные плагины;
  • Обновлять WordPress и все связанные компоненты;
  • Внедрять политику использования надежных паролей и двухфакторную аутентификацию;
  • Мониторить целостность файлов с помощью специализированных плагинов безопасности для оперативного реагирования на несанкционированные изменения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: