锁定WordPress网站的攻击行动不时传出,大多是针对外挂程式的漏洞而来,借此入侵网站,并植入恶意程式进行控制,但最近有一起攻击行动相当不同,骇客将计就计,反过来以此引诱管理者上当,他们谎称网站有漏洞,要管理者尽快套用「修补程式」。
值得留意的是,虽然骇客煞有其事地指出网站漏洞CVE编号,但其实是完全不存在的漏洞,对方也未提供进一步的细节,留下破绽;然而若是网站管理者一时不察,还是很有可能落入圈套,被诱骗安装恶意软体。
声称网站有漏洞,并列出CVE编号
资安业者值得留意的是,上述外挂程式会隐匿恶意管理者帐号,网站管理员难以察觉其踪迹。PatchStack研究人员发现,骇客为了取信网站管理者,在外挂程式的留言区列出了多则假评论,并且将Automattic公司的知名人士列为开发人员。
拥有看似正常安装流程的「修补程式」
PatchStack对于骇客提供的「修补程式」进行分析,一旦网站管理者从该网站下载,将会取得带有CVE编号名称的ZIP压缩档(如cve-2023-45124.zip),但研究人员指出,根据骇客使用的钓鱼网域不同,他们也看到其他档案名称的ZIP档。
网站管理者若是将其在网站上安装并启用,WordPress的管理介面便会显示「CVE-2023-45124已成功修补」的讯息,骇客还「呼吁」管理者,与其他可能受到该漏洞影响人士分享「修补程式」,希望借由上当的管理者来进一步散布恶意软体。
但在上述的过程背后,这个恶意外挂先是建立具有管理员权限的帐号wpsecuritypatch,并为设置随机密码;接著向攻击者的伺服器发送HTTP GET请求,在其中一起攻击行动里,对方利用包含Base64编码资料的wpgate[.]zip/wpapi,并搭配网站查询参数,传送网址、前述建立的管理员帐号及密码。
攻击者再向wpgate[.]zip/runscan发送HTTP GET请求,并得到Base64编码的资料回传,然后在恶意外挂程式里进行解码,企图将其内容植入名为wp-autoload.php的档案。最终此外挂程式将自己隐藏起来,并将上述产生的管理者帐号也进行隐匿。
研究人员分析了恶意程式码的内容,并指出骇客在注解说明了其中的用途。
经过前述的步骤,骇客已制作名为wp-autoload.php的后门程式,并能将其用于后续的攻击行动,而有可能在网站上注入广告、将使用者重新导向恶意网站、集结其他被植入后门程式的网站发动DDoS攻击、窃取帐务资讯,或是让骇客向管理者勒索。