Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Хакеры атакуют интернет-магазины на популярной CMS-платформе Magento 2

15/08/23

magento2-featured

Исследователи из компании Akamai предупреждают о продолжающихся хакерских атаках, получивших название Xurum. Они нацелены на сайты электронной коммерции, работающие под управлением CMS-платформы Magento версии 2 от Adobe.

В своих атаках злоумышленники активно используют критическую уязвимость CVE-2022-24086 , имеющую оценку 9,8 баллов по шкале CVSS. Эта уязвимость была обнаружена ещё в начале прошлого года и позволяет осуществлять внедрение вредоносного кода на сервере.

Как сообщается, название вредоносной кампании выбрано исследователями не случайно. Оно происходит от доменного имени C2-сервера хакеров — «xurum.com». А сама вредоносная операция активна уже как минимум 7 месяцев, с января этого года.

Чаще всего злоумышленники интересуются конфиденциальными данными о заказах и платежах клиентов за последние 10 дней. В некоторых случаях они также устанавливают специальные скиммеры для перехвата данных банковских карт покупателей в режиме реального времени.

Исследователи обнаружили, что злоумышленники пытались запустить две различные вредоносные программы с четырёх IP-адресов хостинг-провайдеров Hetzner и Shock Hosting.

Первый вариант вредоноса предназначен для предварительной проверки уязвимости сервера жертвы. Второй же загружает и запускает непосредственно вредоносный PHP-код с C2-сервера хакеров.

Для маскировки своих действий преступники используют шифрование Base64 и различные методы обфускации кода. А после получения доступа хакеры регистрируют на взломанном сайте новый скрытый компонент Magento, который маскируется под безобидный модуль «GoogleShoppingAds».

Далее с помощью этого бэкдора они активируют мощную веб-оболочку под названием «wso-ng». Для запуска оболочки используется специальный управляющий cookie-файл.

Примечательно, что сама веб-оболочка маскируется под стандартную страницу ошибки CMS Magento. При этом она содержит скрытую форму входа в панель управления, через которую и собираются учётные данные администратора.

Кроме того, для удобства управления взломанным сайтом хакеры создают новую скрытую учётную запись администратора, чаще всего с именами «mageplaza» или «mageworx». Такие имена выбраны неслучайно, а чтобы спрятать бэкдор под видом популярных модулей для Magento.

На командном сервере «xurum.com» эксперты также обнаружили инструменты для эксплуатации известной уязвимости «Dirty COW» в Linux. Она позволяет повысить привилегии атакующего в целевой системе.

Как отмечают исследователи, злоумышленники, стоящие за кампанией Xurum, действуют очень осторожно и целенаправленно. Они демонстрируют высокий профессиональный уровень мастерства во взломе и экспертные знания в работе платформы Magento.

По мнению специалистов Akamai, эта зловредная кампания наглядно показывает, как даже старые уязвимости могут активно и успешно использоваться хакерами в течение долгого времени после их первого обнаружения, раскрытия и выхода исправлений.

К сожалению, многие компании не успевают (или не считают нужным) оперативно устанавливать все необходимые обновления безопасности. Этим и пользуются предприимчивые злоумышленники для атак на уязвимые сайты.

Если ваш интернет-магазин работает на CMS Magenta, стоит обеспокоиться вопросом актуальности программного обеспечения, пока ваши данные, как и данные ваших клиентов, не утекли в открытый доступ.

Темы:Онлайн-торговляПреступленияMagentoAkamaiAdobe
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...