Обнаружена масштабная операция по взлому WordPress-сайтов: 25 тысяч ресурсов скомпрометированы через уязвимости плагинов

information security

Исследователи обнаружили открытую рабочую директорию Linux на платформе Hunt.io, которая раскрыла детали массовой эксплуатации веб-сайтов в июне 2026 года. Оператор атаковал более 440 тысяч уникальных сайтов, используя свыше двух десятков уязвимостей, преимущественно в плагинах WordPress. 25 195 ресурсов получили подтверждённые или высоковероятные признаки компрометации. Атаки затронули также Joomla, PrestaShop, Craft CMS, Magento и другие системы.

Описание

Внутри директории сохранились списки целей, сгенерированные через сервис FOFA, сценарии для эксплуатации уязвимостей, загруженные на атакованные серверы PHP-файлы, коллекции полученных веб-шеллов, история выполнения команд (около 2000 строк) и инструменты для работы после взлома. Всего зафиксировано 18 прогонов сканеров, которые породили более 850 тысяч записей об атаках. Как показали эти файлы, оператор выстроил повторяемый рабочий процесс: сбор целей, проверка вектора загрузки файла или выполнения кода, размещение PHP-маркера, его верификация, замена на полноценный веб-шелл и возврат к скомпрометированным системам для кражи учётных данных и закрепления.

Основные усилия были сосредоточены на WordPress-экосистеме. Самое большое число подтверждённых взломов принесла атака на плагин Breeze Cache (уязвимость CVE-2026-3844). Она позволила загрузить на сервер жертвы PHP-файл с удалённого адреса через AJAX-запрос. Из 27 879 уникальных сайтов в группе целей 17 064 дали однозначное подтверждение успешного выполнения кода. Следом идут плагины ThemeREX Addons (CVE-2026-1969) с 3378 подтверждёнными сайтами, Custom CSS JS & PHP (CVE-2026-6433) - 452, BerqWP (CVE-2025-7443) - 368 и WavePlayer (CVE-2025-12057) - 261.

Часть уязвимостей использовалась для установки вредоносных плагинов целиком. Например, через тему Alone (CVE-2025-5394) и цепочку GutenKit/Hunk загружались ZIP-архивы, содержащие скрытые шеллы. В архиве xs.zip находился компактный PHP-интерпретатор команд, который размещал копии в нескольких директориях. Другие кампании, такие как атака на Ninja Forms (CVE-2026-0740) и Simple File List (CVE-2025-34085), также дали десятки и сотни валидированных взломов. В случае с Simple File List загрузка PNG-файла с последующим переименованием в PHP позволила оператору извлечь wp-config.php, данные о пользователях и внутренних IP-адресах.

Для закрепления в скомпрометированных системах применялись три типа веб-шеллов. Первый - down.php, мощный обфусцированный инструмент с функциями управления файлами, выполнения команд, обхода антивирусов и EDR, сканирования портов и работы с MySQL. Второй - шелл, совместимый с протоколом Godzilla, использующий шифрование и сессионные данные. Третий - скрытая панель с паролем GQxcpCNmqW, маскирующаяся под ответ 404. Типичные пути размещения включали /wp-content/uploads/.bd.php и /wp-content/uploads/.wp-log.php.

В истории терминала оператора обнаружены команды на упрощённом китайском языке, такие как "域名去重" (дедупликация доменов) и "随便找一个Breeze域名" (найти любой Breeze-домен). Это указывает на китайскоговорящего исполнителя. Дополнительным свидетельством служит использование сервиса FOFA для сбора целей и установка VShell (SNOWLIGHT) - инструмента удалённого доступа, часто применяемого китайскими группировками. Сам оператор установил VShell на свою VPS, что говорит о глубоком знакомстве с этой экосистемой. В сценариях массовой эксплуатации также обнаружены следы использования генерации кода с помощью искусственного интеллекта.

Активность продолжалась с 11 по 21 июня 2026 года. Владельцам сайтов, особенно работающим на WordPress, рекомендуется проверить наличие подозрительных файлов по указанным путям, обновить все плагины из списка уязвимых и отслеживать исходящие соединения на IP-адрес 137.175.93[.]126 и домен xs.xxooonline.eu[.]cc.

Индикаторы компрометации

IPv4

  • 137.175.93.126
  • 43.108.17.80

Domain

  • xs.xxooonline.eu.cc

SHA256

  • 0b23404491caff35fd5a7a3a3d89f66a5fb48f4baa57b6c450c15230a0d53181
  • 36be47426e90899c56221f9521dde0a20be3aefe780753c7dbe8efee4d59916e
  • 54953d3eecc8887f39ac0fda4d33c84bcb6170144dbd1d133470d757595beaec
  • 58b17ef746d6fcd9f2e5738486d5af7c4c02b6732176369536b9782d644ec119
  • 65e8f2315488670526f055169d7d8496c63a39c452ed74cae2da1cb0193969b0
  • 7496c08e0bb24a89814ac83f83551d8159802ea91789c2be8bb8c9e57c6c3264
  • 84f7e396a48913851a10cc78c5cc22a25634564abd0694465236d2f365e2bdee
  • e4ad72b1d7a727ffccf0e2a9ddf7b08c993826c17eb4b9f49c9734fc54b00b2a
  • f14285507192fb7643597e4ffaab006f9a3021e045999c1114e4e37bda843b18

Комментарии: 0