WordPress Brute-Force-Angriffe: Websites als Schauplatz genutzt
In einer jüngsten Entdeckung von Sucuri ist ein besorgniserregender Trend zu Brute-Force-Angriffen auf WordPress-Websites durch bösartige JavaScript-Injektionen zu beobachten. Diese WordPress Brute-Force-Angriffe zeichnen sich durch ihren heimlichen Ansatz aus. Der Sicherheitsforscher Denis Sinegubko stellt fest, dass diese Angriffe speziell auf WordPress-Websites über die Browser ahnungsloser Website-Besucher abzielen.
Modus Operandi von WordPress Brute-Force-Angriffen
Gehackte WordPress-Seiten werden zunehmend zu Zielen für böswillige Akteure. Diese Serie von WordPress Brute-Force-Angriffe baut auf einer zuvor dokumentierten Strategie auf, bei der kompromittierte WordPress-Seiten manipuliert wurden, um Krypto-Drainer einzuschleusen oder Besucher auf Web3-Phishing-Seiten mit Drainer-Malware umzuleiten.
Die neueste Version, von der über 700 Websites verwendet jedoch keinen Drainer, sondern stützt sich auf eine Liste gängiger und durchgesickerter Passwörter, um Brute-Force-Angriffe auf andere WordPress-Websites durchzuführen. Der Angriff erfolgt in fünf Phasen, die es Bedrohungsakteuren ermöglichen, kompromittierte Websites auszunutzen, um verteilte Brute-Force-Angriffe auf potenzielle Opferseiten zu starten:
- Beschaffung einer Liste von WordPress-Zielseiten: Die Angreifer stellen eine Liste von WordPress-Sites zusammen, die sie angreifen wollen.
- Extrahieren echter Benutzernamen: Durch Extrahieren der Benutzernamen der Autoren, die auf diesen Domänen posten, sammeln die Angreifer wertvolle Informationen.
- Einschleusen von bösartigem JavaScript-Code: In die kompromittierten WordPress-Seiten wird bösartiger JavaScript-Code eingeschleust.
- Start eines verteilten Brute-Force-Angriffs: Der Angriff wird gestartet, wenn Besucher auf den gehackten Websites landen und unwissentlich Teil des verteilten Brute-Force-Angriffs werden.
- Böswillige Login-Versuche: In der letzten Phase geht es darum, mit der Liste der Passwörter unbefugten Zugang zu den Zielseiten zu erhalten.
Verschiebung von Crypto Drainers zu WordPress Brute-Force Exploits
Das Motiv für diese Verlagerung von Krypto-Drainern zu verteilten Brute-Force-Angriffen bleibt unklar, aber Spekulationen deuten auf Profitmotive hin. Kompromittierte WordPress-Websites können auf verschiedene Weise zu Geld gemacht werden. Krypto-Wallet-Drainer, die im Jahr 2023 für erhebliche Verluste an digitalen Vermögenswerten verantwortlich waren, könnten Bedrohungsakteure dazu veranlasst haben, alternative, weniger aufmerksamkeitsstarke Methoden zu erkunden.
Erkennen der Bedeutung sicherer Kennwörter
Sicherheitsforscher vermuten, dass die Angreifer die Grenzen von Crypto-Drainern bei ihrem Ausmaß der Infektion - etwa 1000 kompromittierte Websites - erkannt haben könnten. Krypto-Drainer ziehen übermäßig viel Aufmerksamkeit auf sich, was zu einer schnellen Sperrung der Domäne führt. Diese Entwicklung unterstreicht die Bedeutung von WordPress-Sicherheitsmaßnahmen zu denen auch die Erstellung robuster Passwörter gehört, um sich gegen potenzielle Bedrohungen zu schützen.
Prävention von Brute-Force-Angriffen
So schützen Sie Ihre WordPress-Website vor diesen Website-Sicherheitslückenzu schützen, sollten Sie die folgenden Maßnahmen ergreifen:
- Beschränkung des Zugriffs auf die Datei xmlrpc.php und die Verwaltungsschnittstelle: Beschränken Sie den Zugriff auf die Datei xmlrpc.php und die WordPress-Verwaltungsoberfläche auf vertrauenswürdige IP-Adressen. Dies hilft, unautorisierte Zugangspunkte für Angreifer zu verhindern.
- Perimeter81 Malware-Schutz: Verwenden Sie Perimeter81 Malware-Schutz, um eine Reihe von bösartigen Entitäten zu blockieren, einschließlich Trojaner, Ransomware, Spyware, Rootkits, Würmer und Zero-Day-Exploits. Diese können in Ihrem Netzwerk verheerenden Schaden anrichten, wenn sie unkontrolliert bleiben.
Aufkommende Bedrohungen und Schwachstellen
Diese Entwicklung folgt auf einen DFIR-Bericht, der aufzeigt, dass Bedrohungsakteure eine kritische Schwachstelle im WordPress-Plugin 3DPrint Lite (CVE-2021-4436, CVSS-Score: 9.8) ausnutzen, um die Godzilla-Web-Shell für einen dauerhaften Fernzugriff einzusetzen. Darüber hinaus zielt eine SocGholish-Kampagne, auch bekannt als FakeUpdates, auf WordPress-Websites ab, indem sie JavaScript-Malware über modifizierte Versionen legitimer Plugins verbreitet. Diese Plugins werden unter Ausnutzung kompromittierter Admin-Anmeldedaten installiert.
Der Sicherheitsforscher Ben Martin betont, dass unabhängig von den verschiedenen Taktiken, die verwendet werden, das ultimative Ziel gleich bleibt - ahnungslose Website-Besucher zum Herunterladen von Remote-Access-Trojanern zu verleiten. Diese Trojaner dienen als erster Einstiegspunkt für potenzielle Ransomware-Angriffe.
Entschärfung von Cybersecurity-Risiken für WordPress
Abschwächung von Brute-Force-Angriffen erfordert proaktive Sicherheitsmaßnahmen. Da sich die Bedrohungslandschaft verändert, wird der Bedarf an Schutz von WordPress-Websites wird immer offensichtlicher. Das Motiv für die jüngste Verlagerung von Krypto-Drainern zu verteilten Brute-Force-Angriffen bleibt zwar spekulativ, unterstreicht aber die Bedeutung der Anpassung von Sicherheitsstrategien an neue Bedrohungen.
Schlussfolgerung
Zusammenfassend lässt sich sagen, dass der Schutz Ihrer WordPress-Website vor sich entwickelnden Cyber-Bedrohungen einen vielschichtigen Ansatz erfordert. Die Stärkung von Passwörtern, die Beschränkung des Zugriffs auf kritische Dateien und Schnittstellen sowie die Bereitstellung eines robusten Malware-Schutzes sind entscheidende Schritte zur Stärkung Ihrer digitalen Verteidigung.
Da die Bedrohungsakteure ihre Taktiken anpassen, ist es wichtig, informiert zu bleiben und proaktive Maßnahmenund die Übernahme von Best Practices für WordPress-Sicherheit sind auch weiterhin unerlässlich, um die Sicherheit und Integrität Ihrer Online-Präsenz zu gewährleisten.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Bleeping Computer.