Ущерба можно было избежать, если бы владельцы сайтов вовремя установили обновления безопасности.
Исследователи из компании Akamai предупреждают о продолжающихся хакерских атаках, получивших название Xurum. Они нацелены на сайты электронной коммерции, работающие под управлением CMS-платформы Magento версии 2 от Adobe.
В своих атаках злоумышленники активно используют критическую уязвимость CVE-2022-24086 , имеющую оценку 9,8 баллов по шкале CVSS. Эта уязвимость была обнаружена ещё в начале прошлого года и позволяет осуществлять внедрение вредоносного кода на сервере.
Как сообщается, название вредоносной кампании выбрано исследователями не случайно. Оно происходит от доменного имени C2-сервера хакеров — «xurum.com». А сама вредоносная операция активна уже как минимум 7 месяцев, с января этого года.
Чаще всего злоумышленники интересуются конфиденциальными данными о заказах и платежах клиентов за последние 10 дней. В некоторых случаях они также устанавливают специальные скиммеры для перехвата данных банковских карт покупателей в режиме реального времени.
Исследователи обнаружили, что злоумышленники пытались запустить две различные вредоносные программы с четырёх IP-адресов хостинг-провайдеров Hetzner и Shock Hosting.
Первый вариант вредоноса предназначен для предварительной проверки уязвимости сервера жертвы. Второй же загружает и запускает непосредственно вредоносный PHP-код с C2-сервера хакеров.
Для маскировки своих действий преступники используют шифрование Base64 и различные методы обфускации кода. А после получения доступа хакеры регистрируют на взломанном сайте новый скрытый компонент Magento, который маскируется под безобидный модуль «GoogleShoppingAds».
Далее с помощью этого бэкдора они активируют мощную веб-оболочку под названием «wso-ng». Для запуска оболочки используется специальный управляющий cookie-файл.
Примечательно, что сама веб-оболочка маскируется под стандартную страницу ошибки CMS Magento. При этом она содержит скрытую форму входа в панель управления, через которую и собираются учётные данные администратора.
Кроме того, для удобства управления взломанным сайтом хакеры создают новую скрытую учётную запись администратора, чаще всего с именами «mageplaza» или «mageworx». Такие имена выбраны неслучайно, а чтобы спрятать бэкдор под видом популярных модулей для Magento.
На командном сервере «xurum.com» эксперты также обнаружили инструменты для эксплуатации известной уязвимости «Dirty COW» в Linux. Она позволяет повысить привилегии атакующего в целевой системе.
Как отмечают исследователи, злоумышленники, стоящие за кампанией Xurum, действуют очень осторожно и целенаправленно. Они демонстрируют высокий профессиональный уровень мастерства во взломе и экспертные знания в работе платформы Magento.
По мнению специалистов Akamai, эта зловредная кампания наглядно показывает, как даже старые уязвимости могут активно и успешно использоваться хакерами в течение долгого времени после их первого обнаружения, раскрытия и выхода исправлений.
К сожалению, многие компании не успевают (или не считают нужным) оперативно устанавливать все необходимые обновления безопасности. Этим и пользуются предприимчивые злоумышленники для атак на уязвимые сайты.
Если ваш интернет-магазин работает на CMS Magenta, стоит обеспокоиться вопросом актуальности программного обеспечения, пока ваши данные, как и данные ваших клиентов, не утекли в открытый доступ.
Никаких овечек — только отборные научные факты