Исследователи компании Akamai обнаружили продолжающуюся кампанию по внедрению шаблонов на стороне сервера (CVE-2022-24086), которая эксплуатирует сайты цифровой торговли. Эта кампания направлена на магазины Magento 2 и получила название Xurum по доменному имени командно-контрольного (C2) сервера злоумышленников.
Akamai наблюдает активность этой кампании как минимум с января 2023 года. Судя по всему, злоумышленника интересует статистика платежей по заказам в магазине Magento жертвы, сделанным за последние 10 дней. Злоумышленник использует продвинутую веб-оболочку под названием "wso-ng", которая активируется только при передаче злоумышленником cookie "magemojo000" компоненту бэкдора "GoogleShoppingAds". Страница входа в веб-оболочку маскируется под страницу ошибки, содержащую скрытую форму входа, с помощью которой пытаются получить учетные данные жертвы. После получения учетных данных злоумышленник создает в Magento бэкдорного пользователя-администратора под именем "mageplaza" или "mageworx", что является еще одним обманным трюком, поскольку именно так называются популярные магазины расширений Magento. Затем злоумышленник использует старый эксплойт Dirty COW (CVE-2016-5195) для попытки повышения привилегий в Linux.
Некоторые сайты, участвовавшие в этой кампании, были заражены простыми скиммерами на базе JavaScript без каких-либо попыток обфусцировать или скрыть их существование.
Indicators of Compromise
IPv4
- 104.36.229.168
- 65.21.85.21
- 95.216.94.99
- 95.216.95.178
Domains
- smileface.site
- xurum.com
Emails
- developer@mageplazza.com
- support@magaworx.com