Новостной ресурс по информационной безопасности SEC-1275-1 публикует эксклюзивные данные о выявленной глобальной сети ботнетов, целенаправленно эксплуатирующей уязвимости платформы WordPress. Эта высокоорганизованная инфраструктура представляет собой одну из наиболее значительных текущих угроз для веб-ресурсов по всему миру.
Описание
Ядро атаки: XML-RPC и wp-login как критически уязвимые векторы
Основной ударной силой ботнета, как детально описывает SEC-1275-1, является двойная атака на ключевые точки входа WordPress:
- XML-RPC (xmlrpc.php): Этот легитимный протокол для удаленного управления контентом стал излюбленным инструментом злоумышленников из-за фундаментальной слабости: отсутствия встроенной защиты от перебора паролей. Ботнет генерирует колоссальные объемы запросов к xmlrpc.php, используя распределенные словарные атаки для подбора учетных данных администраторов. Ключевая опасность, подчеркиваемая SEC-1275-1, — стелс-характер атаки. Тысячи запросов не вызывают явных ошибок входа в админ-панель, но создают катастрофическую нагрузку на сервер, приводя к его замедлению или полному отказу. Это искусно маскирует кибератаку под проблемы с производительностью хостинга, задерживая обнаружение.
- Стандартная авторизация (wp-login.php): Параллельно ботнет атакует привычную страницу входа, применяя изощренную технику "credential stuffing". Используя огромные базы данных скомпрометированных логинов и паролей, полученных в результате предыдущих взломов и утечек, злоумышленники пытаются получить доступ. SEC-1275-1 акцентирует внимание на продвинутых методах обхода защиты: интеллектуальная ротация десятков тысяч IP-адресов и постоянная смена заголовков User-Agent позволяют ботнету эффективно уклоняться от простых систем блокировки по геолокации или количеству попыток входа за период времени.
Инфраструктура угрозы: Легитимные ресурсы как оружие
Анализ выявляет тревожную особенность этой ботнет-сети: масштабную вторичную эксплуатацию. Свыше 80% IP-адресов, используемых для генерации атакующего трафика, принадлежат не частным зараженным устройствам (классическим "зомби"), а скомпрометированным аккаунтам на легитимных хостинг-провайдерах и серверах VPS. Это означает, что веб-сайты, уже взломанные ранее, превращаются в плацдармы для атак на новые жертвы. Такой подход обеспечивает ботнету значительную вычислительную мощность и пропускную способность каналов связи, а также усложняет его отслеживание и блокировку, так как трафик исходит из доверенных сетей. Это создает опасную цепную реакцию: каждый новый успешный взлом пополняет арсенал ботнета, увеличивая его разрушительный потенциал.
Эволюция и масштаб: От точечных атак к системной угрозе
SEC-1275-1 подчеркивает, что обнаруженная сеть — не единичный инцидент, а проявление устойчивой и растущей тенденции. Атаки через xmlrpc.php фиксируются с 2022 года, но текущая инфраструктура демонстрирует беспрецедентный уровень координации и скрытности. По данным, приводимым ресурсом (включая ссылки на исследования компаний вроде Sucuri), подобные ботнеты способны генерировать десятки миллиардов вредоносных запросов ежемесячно, оказывая колоссальное давление на инфраструктуру, особенно малого и среднего бизнеса. Распространенность WordPress, питающего более 43% всех сайтов в интернете, делает его приоритетной и высокодоходной мишенью для киберпреступных группировок, инвестирующих в развитие подобных инструментов.
Цели и последствия: Больше, чем просто взлом
Успешная компрометация сайта через эту ботнет-сеть, как предупреждает SEC-1275-1, открывает злоумышленникам широкий спектр деструктивных и криминальных возможностей:
- Полный контроль над контентом: Мгновенная публикация фишинговых страниц, спама, вредоносных редиректов или политически ангажированных материалов.
- Уничтожение данных: Полное или выборочное удаление критически важной информации сайта, включая базы данных пользователей.
- Установка постоянного доступа: Внедрение скрытых бэкдоров, обеспечивающих долгосрочный шпионаж, кражу данных или использование ресурсов сервера без ведома владельца.
- Криптоджекинг: Тайное использование вычислительных мощностей сервера для майнинга криптовалюты, приводящее к его перегреву, износу оборудования и огромным счетам за электроэнергию.
- Юридические и репутационные риски: Компрометация персональных данных пользователей ведет к нарушениям регуляторных норм (GDPR, CCPA и др.), грозящим многомиллионными штрафами и невосполнимым ущербом доверия клиентов.
Индикаторы компрометации
IPv4
IPv6
- 2001:1810:4181:120:0:4:42af:2c14
- 2001:1810:4201:175:0:4:4531:703e
- 2001:1810:4201:175:0:4:4531:704b
- 2001:41d0:1:c220::1
- 2001:41d0:2:3ea5::
- 2001:41d0:203:b338::
- 2001:41d0:20a:800::ff
- 2001:41d0:304:200::7518
- 2001:41d0:336:ce00::
- 2400:8500:1301:738:133:130:103:36
- 2400:d860:0:7:20c:29ff:feea:d438
- 2402:1f00:8000:800::1c87
- 2404:8c80:0:1011:4dd:b61d:e0d3:e6e3
- 2405:6587:960:6500:24ab:fc7a:9575:bd4a
- 2406:5900:3:6742:11ea:899a:710b:9d20
- 2406:5900:3:6742:739d:b1d4:ef7e:87ac
- 2600:3c09::f03c:95ff:fe52:bde7
- 2607:fa98:1000:3:20c:29ff:fee8:42ef
- 2a00:f940:2:4:4::3c9
- 2a01:4f8:201:4023::2
- 2a01:4ff:1f0:a53::1
- 2a03:b0c0:1:e0::550:4001
- 2a04:e8c0:12::1d
- 2a05:d01c:8a3:ed00:c4ad:962d:5aa0:af9e
- 2a05:d01c:df1:f400:b0ec:16de:55ff:a7f8
Yes, keep publishing WordPress brute-force IoCs! (This info is useful)
Thank you for your feedback.
Да, продолжайте публиковать IoC по брутфорсу WordPress! (Информация полезна)
Благодарю за обратную связь.
Для прощения идентификации данной активности, мы добавили новый тег XML-RPC (https://1275.ru/tag/xml-rpc).
При необходимости, на него можно подписаться.