WP-SHELLSTORM: веб-шеллы и эксплойты для WordPress и Java

11 июня 2026 года эксперты по кибербезопасности обнаружили масштабную вредоносную операцию, получившую название WP-SHELLSTORM. Кампания нацелена на приложения под управлением WordPress и Java-микросервисы, включая Apache Nacos, XXL-Job и Spring Boot, и представляет собой финансово мотивированную угрозу, а не спонсируемую государством активность. Технический уровень злоумышленников оценивается как средний и высокий.

Как начиналось расследование

Точкой входа для анализа стал открытый каталог на виртуальном частном сервере (VPS), расположенном в США. Там хранились веб-шеллы, скрипты эксплойтов и конфигурации управляющих серверов (C2). Исследование показало, что для поиска целей атакующие активно применяют поисковую систему FOFA — китайский аналог Shodan. Этот маркер, наряду с другими косвенными уликами, позволил предположить, что операторы действуют из Китая.

Арсенал и тактика: эшелонированная обфускация

Злоумышленники применяют комплексную многоуровневую стратегию выполнения команд с использованием продвинутых веб-шеллов. Ключевой инструмент — обфусцированный скрипт down.php, который дает полный контроль над скомпрометированной средой:

  • управление файловой системой;
  • динамическое исполнение PHP-кода;
  • удалённый доступ через встроенный модуль VShell.

Модуль VShell специально маскируется под легитимный поток ядра, чтобы избежать обнаружения. Дополнительный дроппер SNOWLIGHT отвечает за извлечение и доставку финальных полезных нагрузок.

Отдельного внимания заслуживает эксплуатация уязвимости CVE-2021-29441 в Apache Nacos. Она позволяет злоумышленникам обходить аутентификацию и похищать учётные данные прямо из конфигураций микросервисов.

Финансовый след и охота за данными

Кампания носит ярко выраженный финансовый характер. Ещё в мае 2026 года, до основного всплеска, атаке подверглись 11 организаций из секторов финтеха и электронной коммерции. Были похищены конфигурационные файлы, содержащие чувствительную информацию: учётные данные облачных провайдеров и секреты JSON Web Token (JWT).

Избирательная эффективность

Успешность атак WP-SHELLSTORM заметно варьировалась в зависимости от эксплуатируемой уязвимости и уровня защиты цели.

  • Уязвимость в плагине Breeze Cache Cleaner позволила закрепиться примерно в 17 000 случаях из более чем 45 000 потенциальных целей — высокая доля подтверждённых веб-шеллов.
  • Эксплуатация уязвимости в Joomla охватила свыше 560 000 целей, но конечная конверсия оказалась значительно ниже, что демонстрирует прямую зависимость эффективности от ландшафта уязвимостей и уровня установки обновлений.

Проколы в операционной безопасности

Несмотря на сложный инструментарий, операторы проявили неожиданную беспечность. В публичном доступе остались журналы и идентифицируемая информация, что существенно упростило отслеживание их действий. Этот контраст между продвинутыми техническими приёмами и слабой операционной гигиеной ставит под вопрос общую дисциплину группировки.

Несмотря на использование сложных инструментов, злоумышленники не смогли достаточно скрыть свою деятельность, что вызывает вопросы об их тщательности в поддержании операционной анонимности.

Срочные меры защиты

Организациям, использующим WordPress, Joomla или опирающимся на Java-микросервисы, рекомендуется немедленно выполнить следующие шаги:

  • заблокировать известные вредоносные IP-адреса, связанные с кампанией;
  • провести сканирование на наличие характерных шаблонов веб-шеллов, включая сигнатуры down.php и VShell;
  • включить мониторинг необычных имён процессов, маскирующихся под системные потоки;
  • поддерживать программное обеспечение в актуальном состоянии, особенно компоненты Apache Nacos, XXL-Job, Spring Boot, плагины кэширования WordPress и ядро Joomla, чтобы минимизировать поверхность атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: