主機代管業者GoDaddy的資安研究團隊指出,他們發現自2016年開始的網站惡意軟體攻擊行動DollyWay,迄今已入侵超過2萬個網站。駭客透過惡意流量導向系統(Traffic Direction System,TDS)、C2節點形成的分散式網路基礎設施,鎖定WordPress網站而來。而在最新一波攻擊行動,駭客進一步採用加密資料傳輸、複雜的注入手法,以及自動化的重複感染機制。
特別的是,這批駭客還會幫受害網站更新WordPress、移除其他惡意軟體,而這麼做的目的是為了進一步完全控制,不讓其他駭客瓜分受害網站的資源。
針對惡意軟體DollyWay,研究人員指出這是專門針對WordPress網站開發的作案工具,駭客利用在受害網站建置的C2及TDS節點,將使用者重新導向到VexTrio與LosPollos的廣告連結進行牟利。截至今年2月,他們看到其中1萬個被感染的網站裡,出現1千萬個冒牌網頁,這些網頁內含惡意指令碼,針對不同的IP位址使用者而來。這款惡意軟體已經進化第三代,駭客運用wp-content/counts.php指令碼,將特定的受害網站設置為C2或是TDS。
為了持續在受害網站活動,駭客設置了重複感染機制,首先他們將惡意PHP程式碼以WPCode小工具的形式,注入所有啟用的外掛程式。一旦受害網站遭到感染,駭客的活動就不會停止,因為每次只要有任意的WordPress網頁開啟,就會啟動重複感染鏈,即使網站管理員察覺,也很難徹底清除。
這個感染鏈大致分成4個步驟。首先是從特定的名單裡,停用Wordfence、Ninja Firewall、All-In-One Security(AIOS)等資安外掛。
接著惡意程式找到已經感染的外掛程式或WPCode小工具,再度對注入的DollyWay程式碼進行混淆處理。而對於已經啟用,但尚未感染的外掛程式,駭客會對其注入經混淆處理的DollyWay程式碼。最後刪除受害網站所有的WPCode小工具,並植入新的惡意版本。
附帶一提的是,由於WPCode在WordPress管理介面當中相當顯眼,為了避免管理員察覺異狀,他們也刪除主控臺所有WPCode選單,並從外掛程式列表移除WPCode。
熱門新聞
2025-03-17
2025-03-17
2025-03-18
2025-03-18
2025-03-19
2025-03-20
2025-03-17