СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
6 апреля
#ИБ

Supply chain-атака на BuddyBoss: вредоносные обновления WordPress

Cybernews сообщила о масштабной кибератаке, нацеленной на платформу BuddyBoss — премиальное решение для WordPress, которое широко используется в сфере e-learning и для создания онлайн-сообществ. По данным исследования, продолжающаяся кампания уже привела к компрометации сотен веб-сайтов, а еще тысячи могут находиться под угрозой.

Что произошло

Атака была организована как supply chain attack: злоумышленники взломали серверы обновлений BuddyBoss и внедрили вредоносный код, способный выполнять account harvesting и Remote Code Execution (RCE).

Как установили исследователи, атакующий использовал большую языковую модель Anthropic Claude для облегчения подготовки и проведения атаки. По их данным, сначала был скомпрометирован закрытый ключ, защищавший сервер обновлений, после чего злоумышленники создали вредоносные обновления для конкретных версий:

  • BuddyBoss Platform 2.20.3
  • BuddyBoss Theme 2.19.2

Эти обновления содержали модификации, которые запускали сбор учетных данных и устанавливали backdoors для удаленного доступа к затронутым серверам.

Почему инцидент выделяется на фоне других атак

Особенность этой кампании заключается в том, что в качестве вектора распространения вредоносного ПО был использован сам механизм обновления. Это отличает инцидент от более распространенных атак, которые обычно сосредоточены на компрометации отдельных WordPress-сайтов.

Для пользователей это создает особенно сложную картину угроз: именно те обновления, которые обычно рекомендуются для устранения уязвимостей, в данном случае могли непреднамеренно привести к заражению через supply chain.

Роль ChatGPT-аналога и языковой след

Интересной деталью расследования стали расшифровки чатов, найденные на сервере злоумышленника. Они указывали на то, что атакующий, вероятнее всего, свободно владел французским языком. При этом ни одна конкретная хакерская группировка не была окончательно связана с этим инцидентом.

Рекомендации и возможные меры защиты

Исследователи считают, что организациям следует пересмотреть подход к установке обновлений и учитывать риски supply chain при обновлении программного обеспечения. В качестве одной из возможных стратегий они называют тактику n-1 — то есть использование версии, предшествующей последней, для более осторожного управления рисками.

В рамках реагирования на инцидент Cybernews рекомендует BuddyBoss:

  • провести тщательное расследование серверов обновлений;
  • удалить любой вредоносный код;
  • сообщить пострадавшим клиентам о необходимых мерах по устранению последствий;
  • усилить контроль и проверку обновлений перед их публикацией.

Этот случай еще раз показывает, что безопасность supply chain становится одним из ключевых направлений киберзащиты. Для администраторов и владельцев сайтов вывод очевиден: доверять обновлениям необходимо, но проверять их — обязательно.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: