Массовая атака на сайты на Ghost CMS: через уязвимость SQL-инъекции злоумышленники внедряют вредоносные скрипты для кражи данных

В начале мая 2026 года специалисты компании XLab зафиксировали масштабную кампанию по отравлению сайтов, работающих на популярной платформе Ghost CMS. Злоумышленники использовали критическую уязвимость SQL-инъекции CVE-2026-26980 для удаленного захвата административных ключей и последующего внедрения вредоносного кода в статьи. За несколько недель атаке подверглись более семисот доменов, включая сайты Гарвардского и Оксфордского университетов, крупных технологических стартапов и финансовых организаций. Эта кампания демонстрирует, насколько опасным может быть сочетание известной уязвимости и методов социальной инженерии, когда пользователи доверяют знакомым ресурсам.

Описание

Уязвимость CVE-2026-26980 была публично раскрыта еще в феврале 2026 года. Она позволяет неавторизованному злоумышленнику через специально сформированный SQL-запрос извлечь из базы данных Admin API Key - ключ с полными правами управления контентом, темами и пользователями. В Ghost CMS существуют два типа ключей: Content API Key (только для чтения опубликованных материалов) и Admin API Key (для изменения статей, настроек и даже кода). Атакующие сканировали интернет в поисках непропатченных экземпляров Ghost, автоматически добывали Admin API Key и через интерфейс Admin API массово модифицировали записи, вставляя в конец каждой статьи JavaScript-загрузчик.

Цепочка атаки состояла из пяти этапов. Первый - внедрение в тело статьи короткого скрипта-загрузчика (thin loader). Он декодирует закодированную в base64 строку с адресом удаленного сервера, передает ему идентификатор сайта и динамически создает новый элемент "<script>". Второй этап - так называемая техника клоакинга (cloaking), то есть показ разного контента в зависимости от характеристик посетителя. Когда браузер реального пользователя загружает скрипт с сервера clo4shara.xyz (позднее com-apps.cc), система собирает цифровой отпечаток устройства: модель видеокарты, часовой пояс, поддержку сенсорного ввода и другие параметры. Если проверка пройдена, скрипт перенаправляет жертву на поддельную страницу, имитирующую сервис Cloudflare.

Третий этап - социальная инженерия, известная как ClickFix в сочетании с фальшивой капчей. Пользователь видит логотип Cloudflare и просьбу подтвердить, что он не робот. При нажатии на кнопку проверки появляется инструкция: нажать Win+R, вставить скопированную команду и нажать Enter. На самом деле эта команда перемещает загруженный в фоне архив update.zip из папки загрузок во временную директорию, распаковывает его и запускает скрытый bat-файл. Пока пользователь думает, что проходит капчу, его система уже выполняет вредоносный код.

Четвертый этап - доставка полезной нагрузки. Исследователи выявили несколько вариантов update.bat, которые загружали библиотеку installer.dll из облачного хранилища Storj, а затем запускали ее через rundll32 в скрытом окне. После этого браузер открывал безобидную страницу - например, видео на YouTube или картинку с уведомлением - чтобы отвлечь внимание. Пятый этап - исполнение конечного зловреда. В более поздних версиях вместо bat-файлов использовались cmd-скрипты и даже JavaScript, которые скачивали UtilifySetup.exe - установщик, собранный на основе Inno Setup.

При анализе этого файла специалисты XLab обнаружили, что он представляет собой Electron-приложение, выдающее себя за легитимную утилиту Grape. Однако оригинальный index.js был заменен на вредоносный. После запуска программа копирует себя в папку AppData, добавляет в автозагрузку с помощью API Electron setLoginItemSettings и каждые тридцать секунд отправляет POST-запрос на сервер web-telegram.ug, ожидая команд. Таким образом злоумышленники могут выполнять любой произвольный код или запускать исполняемые файлы на скомпрометированной машине.

В ходе расследования выяснилось, что кампанию ведут как минимум две разные группы. Первая, которую назвали Threat Actor A, использовала Cloaking-серверы сCloudflare и часто меняла инфраструктуру. Вторая группа (Threat Actor B) применяла другие домены, например staticcloudflare.pro и script-dev.digital, и отличалась своим набором скриптов. Интересно, что некоторые сайты становились полем битвы между группировками. Так, сайт Harvard International Review сначала был атакован одной группой, затем его код заменила другая, а через день первая снова вернула свой скрипт. Это говорит о том, что злоумышленники активно конкурируют за контроль над зараженными ресурсами.

Масштаб атаки впечатляет: по данным XLab, на момент публикации отчета было выявлено более 700 зараженных доменов. Почти половина из них - персональные блоги и независимые проекты, около 15% - сайты разработчиков и SaaS-компаний, 5% - образовательные учреждения. В списке жертв оказались сайты на доменах .edu, .ai, .dev, а также ресурсы криптовалютных проектов и новостных изданий. Специалисты отметили в своем отчете, что активное сканирование и автоматическое внедрение кода позволяют злоумышленникам быстро расширять зону поражения.

На данный момент Cloudflare уже заблокировал первоначальный Cloaking-домен clo4shara.xyz, но атакующие оперативно перешли на новый - com-apps.cc. Кроме того, они обновили полезную нагрузку, добившись нулевого обнаружения на VirusTotal. Это означает, что стандартные антивирусные базы пока не распознают новый вредоносный файл.

Владельцам сайтов на Ghost CMS необходимо срочно обновить платформу до версии, в которой закрыта уязвимость CVE-2026-26980. Стоит также сменить все административные ключи API, пароли и сессии, а в базе данных вручную проверить каждую статью на наличие посторонних скриптов. Пользователям, которые могли посещать зараженные ресурсы, рекомендуется проверить систему на наличие подозрительных процессов и файлов, особенно в папке Temp. Хотя официальные уведомления были разосланы многим пострадавшим компаниям, ответ получили немногие. Угроза остается высокой: пока на сайтах висят загрузчики, злоумышленники могут в любой момент активировать атаку, сменив лишь адрес Cloaking-сервера.