Злоумышленники скомпрометировали более 30 сайтов на базе WordPress, с целью проведения DDOS атак.
При посещении скомпрометированного сайта, запускается скрипт, получающий список сайтов с адреса https://jquery.fra1.digitaloceanspaces.com/jquery.json (в данный момент не доступен).
После получения списка целей, скрипт постоянно обращается к URL из списка, передавая в качестве параметра к URL, случайную строку длиной от 0 до 20 символов, содержащую английские буквы в различных регистрах и цифры.
Пример запросов:
- /?EtAWZ7V9r5V
- /?CszXcMgwhNGzq3YfY
- /?qamS2oq
- /?sR2EiKCLH7tvHAT0KtDG
Регулярное выражения, для выявление и блокировки запросов
1 | ^(.*)\?[a-zA-Z0-9]{1,20}$ |
Indicators of Compromise
URLs
- https://jquery.fra1.digitaloceanspaces.com/jquery.json
base64 string
- aHR0cHM6Ly9qcXVlcnkuZnJhMS5kaWdpdGFsb2NlYW5zcGFjZXMuY29tL2pxdWVyeS5qc29u