5,000 WordPress Sites Hacked in New WP3.XYZ Malware Attack
5,000 WordPress Sites Hacked in New WP3.XYZ Malware Attack
Widespread malware campaigns detected by side crawlers exploit vulnerabilities on multiple websites where the intrusion method remains under investigation, with no common entry point identified.
gbhackers.com
- 공격 개요
- WP3.XYZ 멀웨어 공격으로 5,000개 이상의 WordPress 사이트가 침해됨
- 공격자는 WordPress 취약점을 악용하여 관리자 계정을 생성하고 악성 플러그인을 설치
- 현재 공통된 침입 경로는 확인되지 않았으며, 다수의 웹사이트에서 유사한 공격 패턴 발견
- 공격 방법 및 메커니즘
- 관리자 계정 생성
- 공격자는
wpx_admin이라는 사용자명과 하드코딩된 비밀번호를 사용해 비인가 관리자 계정 생성 - CSRF 토큰을 이용해 WordPress 사용자 생성 페이지에서 POST 요청으로 계정을 추가
- 공격자는
- 악성 플러그인 다운로드 및 활성화
- 원격 서버에서 플러그인을 다운로드 후
/wp-admin/update.php?action=upload-plugin엔드포인트를 통해 설치 - 설치된 플러그인은 민감 정보를 원격 서버로 유출
- 원격 서버에서 플러그인을 다운로드 후
- 데이터 유출 방식
- JSON 구조를 사용해 데이터 전송, 피해 사이트 URL, 타임스탬프, 사용자 에이전트 정보 포함
- 전송 실패 시 재시도(backoff retry) 메커니즘 사용
- 이미지 요청처럼 위장하여 관리자 자격 증명 및 운영 로그 유출
- 플러그인 설치 확인
- 사이트 HTML 콘텐츠를 분석하여
wp3.xyz문자열 여부 확인 - 확인 시 "Payload verified" 메시지를, 실패 시 "Payload not found" 메시지를 기록
- 사이트 HTML 콘텐츠를 분석하여
- 관리자 계정 생성
- 보안 권고
- 도메인 차단
- 방화벽에서
wp3[.]xyz도메인 차단
- 방화벽에서
- 관리자 계정 점검
- WordPress 관리자 계정을 감사하여 비인가 사용자 계정(wpx_admin) 확인 및 제거
- 플러그인 점검 및 제거
- 의심스러운 플러그인을 제거하고 기존 플러그인의 무결성을 확인
- 도메인 차단
- 결론
- 이번 WP3.XYZ 멀웨어 공격은 관리자 권한 남용과 플러그인 악용을 통한 심각한 침해를 보여줌
- WordPress 사이트 운영자는 관리자 계정 및 플러그인에 대한 주기적인 감사를 수행해야 함
- 방화벽에서 악성 도메인 차단 및 추가적인 보안 조치를 통해 향후 공격을 방지할 필요가 있음
- WordPress 코어, 플러그인, 테마에 대한 정기적인 업데이트가 중요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 호텔 직원 개인정보 유출 사건 (0) | 2025.01.25 |
|---|---|
| 북한 IT 노동자 사기와 2016년 크라우드펀딩 사기 연관성 (0) | 2025.01.24 |
| 사이버 범죄 분석을 위한 웹 스크래핑: 원리, 도구, 사례, 전략 (0) | 2025.01.24 |
| AI 기능 비활성화: Windows 및 웹에서 AI 제거 방법 (0) | 2025.01.24 |
| Codefinger 랜섬웨어: AWS S3 버킷 암호화 및 데이터 손실 위험 (0) | 2025.01.24 |