Popularność WordPressa jako platformy do tworzenia stron internetowych przyciąga nie tylko twórców treści, ale także cyberprzestępców. Niedawno odkryty atak, przeprowadzony przez grupę MUT-1244, pokazuje, jak niebezpieczne może być zaufanie do pozornie wiarygodnych źródeł.
Złośliwe oprogramowanie ukryte w narzędziu dla WordPressa
Grupa cyberprzestępcza oznaczona jako MUT-1244 stworzyła zainfekowane narzędzie „yawpp” (reklamowane jako sprawdzanie poświadczeń WordPress), które w rzeczywistości zawierało złośliwy kod. Narzędzie zostało opublikowane na GitHubie w repozytorium o nazwie „hpc20235/yawp”. Aby dodatkowo uwiarygodnić swoją działalność, atakujący używali zdjęć profilowych generowanych przez sztuczną inteligencję i nazw repozytoriów nawiązujących do legalnych projektów.
Z wykorzystaniem tego narzędzia grupa MUT-1244 przeprowadziła zaawansowaną kampanię ataków, której celem byli zarówno inni hakerzy, jak i specjaliści ds. bezpieczeństwa. Wykorzystując różnorodne techniki, udało im się przejąć ponad 390 000 danych uwierzytelniających do serwisów WordPress.
Mechanizm ataku
MUT-1244 skierowała swoje działania na środowisko akademickie, wysyłając fałszywe e-maile dotyczące rzekomych aktualizacji mikrokodu procesora. Ofiary były nakłaniane do uruchomienia złośliwego skryptu, który instalował na ich systemach oprogramowanie typu backdoor.
Atakujący opublikowali na GitHubie szereg narzędzi, takich jak „yawpp”, które rzekomo służyły do weryfikacji poświadczeń WordPress. W rzeczywistości zawierały one złośliwy kod, który po uruchomieniu kradł dane uwierzytelniające oraz inne wrażliwe informacje, takie jak klucze SSH czy tokeny dostępu AWS.
Sam atak przebiegał w dwóch etapach:
- Pierwszy etap: ofiary, w tym specjaliści ds. bezpieczeństwa i pentesterzy, pobierały złośliwe oprogramowanie z repozytoriów GitHub lub instalowały je wskutek phishingowych wiadomości e-mail. Zainfekowane pliki obejmowały m.in. droppery Pythona, zainfekowane pakiety npm oraz fałszywe pliki PDF.
- Drugi etap: złośliwe oprogramowanie przesyłało skradzione dane na platformy takie jak Dropbox i file.io. Wśród wykradzionych informacji znalazły się:
- 390 000 danych uwierzytelniających WordPress,
- Prywatne klucze SSH,
- Tokeny dostępu AWS,
- Zmienne środowiskowe i inne wrażliwe dane.
Poniższa grafika przedstawia schemat ataku:
Szczegółową analizę oraz opis tego ataku opublikowali badacze cyberbezpieczeństwa z firmy Datadog Security Labs: https://securitylabs.datadoghq.com/articles/mut-1244-targeting-offensive-actors/
Cel ataku i skala szkód
Ofiarami padli nie tylko zwykli użytkownicy, ale także specjaliści ds. bezpieczeństwa oraz inni hakerzy, co pokazuje, że nawet osoby z branży mogą stać się celem takich działań.
Wykradzione dane umożliwiały hakerom zarówno uzyskanie dostępu do serwerów, jak i monetyzację swojej działalności poprzez instalację oprogramowania do wydobywania kryptowaluty Monero. Dzięki tym działaniom MUT-1244 uzyskała także dostęp do ogromnej liczby poświadczeń, które mogły zostać wykorzystane do dalszych ataków lub sprzedane na czarnym rynku.
Wnioski z ataku MUT-1244
Atak przeprowadzony przez MUT-1244 podkreśla znaczenie ostrożności przy korzystaniu z narzędzi pochodzących z nieznanych źródeł oraz konieczność weryfikacji ich autentyczności. Ten incydent uwidacznia, jak łatwo zaufanie do pozornie legalnych źródeł może zostać wykorzystane przez cyberprzestępców. Oto najważniejsze wnioski:
- Zachowaj ostrożność przy pobieraniu narzędzi: nawet repozytoria GitHuba mogą zawierać złośliwy kod.
- Regularnie aktualizuj wtyczki WordPressa: przestarzałe komponenty to częsty punkt wejścia dla hakerów.
- Stosuj unikalne hasła i kopie zapasowe: to podstawa ochrony przed kradzieżą danych.
- Zainwestuj w wtyczki bezpieczeństwa: mogą one pomóc w wykrywaniu i neutralizacji złośliwego oprogramowania.
Podsumowanie
Atak MUT-1244 to przestroga zarówno dla administratorów WordPressa, jak i dla społeczności zajmującej się cyberbezpieczeństwem. Pokazuje, że nawet eksperci mogą stać się ofiarami przemyślanych kampanii hakerskich. Aby zminimalizować ryzyko, kluczowe jest zachowanie czujności, regularna aktualizacja systemów oraz korzystanie wyłącznie z zaufanych źródeł.
Skorzystaj z naszej pomocy już dziś i uzyskaj wsparcie.
Masz więcej pytań? Zapraszamy do kontaktu
Powyższy artykuł został opracowany przy wsparciu narzędzi AI z wykorzystaniem materiałów wygenerowanych przez model językowy ChatGPT. Treść została zredagowana i zweryfikowana przez autora publikacji.
