Киберпреступники внедрили вредоносное ПО в несколько расширений серверов FishPig, чтобы добавить бэкдоры.
В этой растущей тенденции искусственного интеллекта и машинного обучения все больше и больше вещей, окружающих нас, автоматизируются. Без сомнения, это принесет человечеству многочисленные преимущества, но в этой игре данных кибербезопасность вызывает серьезную озабоченность, поскольку киберпреступники используют умные способы для угроз и становятся необходимыми для компаний, чтобы справиться с этим в приоритетном порядке.
Киберпреступники установили вредоносное ПО на серверы, связанные с неизвестным количеством интернет-магазинов, после взлома серверной инфраструктуры FishPig, производителя программного обеспечения для интеграции Magento и WordPress с более чем 200 000 загрузок. Sansec, компания по обеспечению безопасности, которая первой изобрела брешь, определила, что киберпреступники внедрили вредоносное ПО в FishPig Magento Security Suite и несколько других расширений FishPig для Magento 2, чтобы получить доступ к веб-сайтам, использующим эти продукты. Позже внедренное вредоносное ПО установило троян удаленного доступа (RAT) под названием «Rekoobe», который скрывается на сервере в качестве фонового процесса. Rekoobe, появившийся в июне, выдает себя за защищенный SMTP-сервер. При установке из памяти он загружает свои настройки, удаляет все вредоносные файлы и принимает имя системной службы, чтобы избежать обнаружения.
Ранее было замечено, что для запуска этого троянца используется Linux-руткит Syslogk. Rekoobe может быть запущен скрытыми командами, связанными с обработкой команды startTLS, отправленной злоумышленником через Интернет. Когда Rekoobe активирован, он предлагает обратную оболочку, которая позволяет кибер-злоумышленнику удаленно неправильно обращаться со скомпрометированным сервером. Сансек упоминает, что вторжение FishPig началось 19 августа или раньше. Он также сказал, что интернет-магазины, использующие программное обеспечение FishPig, теперь могут иметь незапланированную установку Rekoobe на своих серверах, предлагая администраторам доступ к хакерам. «Вероятно, все платные расширения Fishpig были взломаны. Бесплатные расширения, размещенные на Github, похоже, не затронуты», — прокомментировал Сансек.
«Этот файл включен в большинство расширений FishPig, поэтому лучше предположить, что все платные модули FishPig Magento 2 были заражены», — сообщили в компании. С тех пор
извлек вредоносный код и предпринял шаги, чтобы предотвратить дальнейшее неправильное обращение в мире кибербезопасности. FishPig рекомендует всем клиентам обновить все модули FishPig или удалить текущие версии из источника, независимо от того, используют ли клиенты расширения, о которых известно, что они затронуты. люди, которые обеспокоены тем, что вредоносные программы могут заражать их сайт и нуждаются в помощи, чтобы исправить это, могут воспользоваться текущим бесплатным предложением FishPig по очистке.
Сообщение «Когда платные серверы скомпрометированы, киберпреступники забывают о бесплатных версиях» впервые появилось в Analytics Insight.
