GoDaddy tarafından barındırılan sitelerin barındırdığı yüzlerce siteyi etkileyen yeni bir hackleme kampanyası ortaya çıkarıldı.
Wordfence Incident Response ekibi tarafından yapılan bir araştırma, GoDaddy’nin Yönetilen WordPress hizmetiyle barındırılan 280’den fazla web sitesine bir arka kapı bulaştığını buldu.
Güvenliği ihlal edilen hizmetler arasında MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet ve Host Europe yer alıyor ve toplam 298 sitenin virüslü olduğu tespit edildi.
Bu isimsiz arka kapı, daha da açıklandığı gibi, en az yedi yıldır kullanılıyor. Tehdit aktörleri bunu wp-config.php dosyasının başına ekliyor ve amacı, virüslü siteye göre özelleştirilmiş kaynaklar da dahil olmak üzere spam içerikli Google arama sonuçları oluşturmak gibi görünüyor.
Rus TLD’si
“Siteye belirli bir base64 kodlu değere ayarlanmış bir tanımlama bilgisi içeren bir istek gönderilirse, arka kapı bir komut ve kontrol (C2) etki alanından bir spam bağlantı şablonu indirir – bu durumda t-fish-ka[.]ru – ve virüslü sitenin etki alanının MD5 karmasına ayarlanmış bir adla kodlanmış bir dosyaya kaydedin, ”diye açıkladı araştırmacılar. “Örneğin, ‘examplesite.com’ için kodlanmış dosya, bu alanın bir karması olan 8c14bd67a49c34807b57202eb549e461 olarak adlandırılacaktır.”
C2 alan adında bir Rus üst düzey alan adı var, ancak bu özel kampanyanın Rusya’nın devam eden Ukrayna işgali ile ilgisi olduğunu gösteren hiçbir şey yok.
Araştırmacılar, tehdit aktörlerinin GoDaddy’nin hizmetlerine nasıl girdiğini henüz keşfedemediler ve bunun şirketin sistemlerine yapılan geçen yılki saldırıyla bağlantılı olabileceğini düşünüyorlar. 2021’de GoDaddy, Yönetilen WordPress sitelerini sağlamak için kullanılan sistemlerine bilinmeyen bir saldırganın eriştiğini bildirdi.
GoDaddy’nin Yönetilen WordPress platformunun müşterilerinin, tesislerinin temiz olduğundan emin olmak için sitelerinin wp-config.php dosyasını manuel olarak analiz etmeleri veya kötü amaçlı yazılım algılama çözümüyle bir tarama yapmaları önerilir.
Bir şey bulanlar, üzerinde bulunan talimatları kullanabilirler. bu bağlantısitelerini herhangi bir kötü amaçlı kod veya virüsten temizlemek için.