از Web3 Drainer تا حمله بروت فورس توزیع شده وردپرس

یافته‌های جدید Sucuri نشان می‌دهد که عوامل تهدید با استفاده از تزریق‌های مخرب جاوا اسکریپت، حملات بروت فورس (brute-force) را علیه سایت‌های وردپرس به انجام رسانده‌اند.

دنیس سینگوبکو، محقق امنیتی Sucuri اعلام کرد که این حملات، به شکل حملات بروت فورس توزیع شده رخ داده است و وب سایت های وردپرس را از مرورگرهای بازدیدکنندگان کاملاً بی گناه و بی خبر سایت مورد هدف قرار می‌دهد.

این فعالیت بخشی از یک موج حمله مستند شده قبلی است که در آن سایت‌های وردپرس هک شده برای تزریق مستقیم crypto drainerها (کریپتو دراینر یا استخراج کننده‌های ارزدیجیتال) مانند Angel Drainer یا هدایت بازدیدکنندگان سایت به سایت‌های فیشینگ Web3 حاوی بدافزار استخراج کننده‌ استفاده می‌شوند.

کریپتو دراینر نوعی بدافزار است که کیف پول های ارزهای دیجیتال را مورد هدف قرار می‌دهد. این کار با فریب قربانیان برای رضایت به انجام یک تراکنش مخرب صورت می‌پذیرد.

آخرین حمله به این دلیل قابل توجه است که تزریق‌ها (تا به امروز در بیش از 700 سایت مشاهده شده است) یک دراینر را لود نمی‌کنند، بلکه فهرستی از رمزهای عبور رایج و فاش شده استفاده می‌شود تا سایت‌های وردپرس دیگر را بروت فورس کننند.

این حمله در پنج مرحله گسترش می‌یابد و یک عامل تهدید را قادر می‌سازد تا از وب‌سایت‌هایی که قبلاً تحت نفوذ قرار گرفته‌اند برای راه‌اندازی حملات بروت فورس توزیع شده علیه سایر سایت‌های قربانی بالقوه استفاده کنند.

• دریافت لیستی از سایت های وردپرس هدف
• استخراج نام کاربری واقعی نویسندگانی که در آن دامنه ها پست می گذارند
• تزریق کد مخرب جاوا اسکریپت به سایت های وردپرس هک شده قبلی
• راه اندازی یک حمله بروت فورس توزیع شده، بر روی سایت های هدف از طریق مرورگر زمانی که بازدیدکنندگان وارد سایت های هک شده می شوند
• دسترسی غیرمجاز به سایت های هدف

مرورگر بازدیدکننده برای هر رمز عبور موجود در لیست، درخواست wp.uploadFile XML-RPC API را برای آپلود فایلی با گواهی های اعتبار رمزگذاری شده ارسال می کند که به منظور احراز هویت این درخواست خاص استفاده شده است. اگر احراز هویت موفق باشد، یک فایل متنی کوچک با گواهی های معتبر در دایرکتوری آپلودهای وردپرس ایجاد می شود.

در حال حاضر مشخص نیست، چه عاملی باعث شده است که عوامل تهدید از کریپتو دراینرها به حمله بروت فورس توزیع شده روی آورند، اگرچه ممکن است که این تغییر ناشی از انگیزه های مالی باشد، چرا که سایت های وردپرس هک شده می توانند به روش های مختلف درآمدزایی کنند.

براساس داده‌های Scam Sniffer، کریپتو دراینرها منجر به متضرر شدن صدها میلیون دارایی‌ دیجیتال در سال 2023 شده‌اند. ارائه‌ دهنده راه‌حل‌های ضد کلاهبرداری Web3 از آن زمان فاش کرد که دراینرها از فرآیند عادی‌سازی در روش رمزگذاری EIP-712 کیف پول برای دور زدن هشدارهای امنیتی سوء استفاده می‌کنند.

این توسعه زمانی صورت پذیرفت که گزارش DFIR فاش کرد، عوامل تهدید از یک نقص مهم در پلاگین وردپرس به نام 3DPrint Lite (CVE-2021-4436، امتیاز CVSS: 9.8) به منظور استقرار شل وب Godzilla (گودزیلا) برای حفظ دسترسی از راه دور ایجاد شده، استفاده کرده‌اند.

عوامل تهدید همچنین یک کمپین جدید SocGholish (معروف به FakeUpdates) را دنبال می‌کنند که وب‌سایت‌های وردپرس را مورد هدف قرار می‌دهد و در آن بدافزار جاوا اسکریپت توسط نسخه‌های اصلاح ‌شده افزونه‌های قانونی توزیع می گردد که با بهره‌گیری ازگواهی های اعتبار admin هک شده، نصب شده اند.

این حمله بیش از هر چیز، اهمیت استفاده از رمزهای عبور قوی را به ما یادآوری می کند. با وجود فناوری فعلی در حال حاضر امتحان کردن صدها هزار رمز عبور در میلیون ها سایت در یک بازه زمانی معقول بسیار آسان است.

علاوه بر رمزهای عبور ایمن، شما می‌توانید دسترسی به اینترفیس مدیریت وردپرس و فایل xmlrpc.php را فقط به IP های قابل اطمینان محدود کنید.

به منظور بررسی شاخص‌های نفوذ می‌توان فهرست‌های آپلود وردپرس (wp-content/uploads/…) را برای شناسایی فایل‌های ناشناخته بررسی کرد. این حمله خاص فایل‌های txt کوتاهی ایجاد می‌کند که حاوی ActiveLamezh هستند. همچنین می توان دایرکتوری هایی مانند wp-content/uploads/2024/02/  و wp-content/uploads/2024/03 را مورد بررسی قرار داد.

حتی اگر فایل‌های txt آپلود شده را نیافتید، گذرواژه همه کاربران admin وردپرس را تغییر دهید تا مطمئن شوید که این گذرواژه‌ها به اندازه کافی طولانی، قوی و منحصر به فرد هستند.

منابع