16.08.2023 | Онлайн-бизнес под угрозой: хакеры атакуют интернет-магазины на популярной CMS-платформе Magento 2 |
Исследователи из компании Akamai предупреждают о продолжающихся хакерских атаках, получивших название Xurum. Они нацелены на сайты электронной коммерции, работающие под управлением CMS -платформы Magento версии 2 от Adobe . В своих атаках злоумышленники активно используют критическую уязвимость CVE-2022-24086 , имеющую оценку 9,8 баллов по шкале CVSS . Эта уязвимость была обнаружена ещё в начале прошлого года и позволяет осуществлять внедрение вредоносного кода на сервере. Как сообщается, название вредоносной кампании выбрано исследователями не случайно. Оно происходит от доменного имени C2-сервера хакеров — «xurum.com». А сама вредоносная операция активна уже как минимум 7 месяцев, с января этого года. Чаще всего злоумышленники интересуются конфиденциальными данными о заказах и платежах клиентов за последние 10 дней. В некоторых случаях они также устанавливают специальные скиммеры для перехвата данных банковских карт покупателей в режиме реального времени. Исследователи обнаружили, что злоумышленники пытались запустить две различные вредоносные программы с четырёх IP-адресов хостинг-провайдеров Hetzner и Shock Hosting . Первый вариант вредоноса предназначен для предварительной проверки уязвимости сервера жертвы. Второй же загружает и запускает непосредственно вредоносный PHP-код с C2-сервера хакеров. Для маскировки своих действий преступники используют шифрование Base64 и различные методы обфускации кода. А после получения доступа хакеры регистрируют на взломанном сайте новый скрытый компонент Magento, который маскируется под безобидный модуль «GoogleShoppingAds». Далее с помощью этого бэкдора они активируют мощную веб-оболочку под названием «wso-ng». Для запуска оболочки используется специальный управляющий cookie-файл. Примечательно, что сама веб-оболочка маскируется под стандартную страницу ошибки CMS Magento. При этом она содержит скрытую форму входа в панель управления, через которую и собираются учётные данные администратора. Кроме того, для удобства управления взломанным сайтом хакеры создают новую скрытую учётную запись администратора, чаще всего с именами «mageplaza» или «mageworx». Такие имена выбраны неслучайно, а чтобы спрятать бэкдор под видом популярных модулей для Magento. На командном сервере «xurum.com» эксперты также обнаружили инструменты для эксплуатации известной уязвимости «Dirty COW» в Linux . Она позволяет повысить привилегии атакующего в целевой системе. Как отмечают исследователи, злоумышленники, стоящие за кампанией Xurum, действуют очень осторожно и целенаправленно. Они демонстрируют высокий профессиональный уровень мастерства во взломе и экспертные знания в работе платформы Magento. По мнению специалистов Akamai, эта зловредная кампания наглядно показывает, как даже старые уязвимости могут активно и успешно использоваться хакерами в течение долгого времени после их первого обнаружения, раскрытия и выхода исправлений. К сожалению, многие компании не успевают (или не считают нужным) оперативно устанавливать все необходимые обновления безопасности. Этим и пользуются предприимчивые злоумышленники для атак на уязвимые сайты. Если ваш интернет-магазин работает на CMS Magenta, стоит обеспокоиться вопросом актуальности программного обеспечения, пока ваши данные, как и данные ваших клиентов, не утекли в открытый доступ. |
Проверить безопасность сайта