Bleeping Computer 網站披露,網絡安全分析師發現 GoDaddy 管理服務器上託管的部分 WordPress 網站,被部署了大量後門,所有網站都具有相同的後門有效載荷。
據悉,這次網絡攻擊可能影響到許多互聯網服務經銷商,已知的包括 MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。
2022 年 2 月 11 日,Wordfenc 安全團隊首次觀察到此次惡意活動。經過一段時間追蹤,發現 24 小時內約有 298 個網站感染後門,其中 281 個網站託管在 GoDaddy。
網絡安全研究員透漏,感染後門的網站允許攻擊者從 C2 中獲取垃圾郵件鏈接模板,用於將惡意網頁注入到用戶搜索結果中,進行虛假宣傳,誘導受害者購買假冒產品。
此外,攻擊者還能夠通過更改網站內容等明顯違規行為,損害網站聲譽,但這些似乎都不是威脅者最終目的。
糟糕的是,這種模式的網絡攻擊發生在服務器上而不是瀏覽器上,很難從用戶端檢測到和阻止,因此本地網絡安全工具不會檢測到任何可疑的東西。
供應鏈攻擊
此次網絡攻擊的入侵載體還沒有得到確定,雖然看起來很接近供應鏈攻擊,但目前不能證實。
無論如何,如果用戶的網站託管在GoDaddy的WordPress管理平台上,請務必儘快掃描wp-config.php文件,查找潛在的後門注入。
值得注意的是,2021 年 11 月,GoDaddy 披露一起數據泄露事件,影響範圍涵蓋 120 萬客戶和多個WordPress 管理服務經銷商,包含上文提到的六個。
Bleeping Computer 已經聯繫了 GoDaddy,期望獲取更多關於攻擊活動的信息,但沒有收到回復。
參考文章:
https://www.bleepingcomputer.com/news/security/hundreds-of-godaddy-hosted-sites-backdoored-in-a-single-day/