不同於傳統的惡意軟體感染，往往會留下明顯的網站破壞或可疑的重新導向，這類攻擊完全在幕後操作，使得網站管理員和安全工具極難偵測。記者孫敬／編譯

網路安全公司Sucuri近日揭露一項針對WordPress網站的高複雜、高隱匿的惡意軟體攻擊，利用精密的感染鏈，能在維持對標準安全檢查完全隱形的情況下，結合PHP後門與先進的規避機制，向毫無戒心的網站訪客投入Windows木馬程式，以建立對受害者系統的持久性存取，

不同於傳統的惡意軟體感染，往往會留下明顯的網站破壞或可疑的重新導向，這類攻擊完全在幕後操作，使得網站管理員和安全工具極難偵測，Sucuri研究人員是在調查一起看似例行的WordPress入侵事件後，才發現這個複雜的威脅。

延伸閱讀：為創作者爭取收益！Cloudflare推「爬蟲收費機制」讓AI公司對內容使用付費

[caption id="attachment_180080" align="aligncenter" width="1200"] WordPress被查獲有高危險等級的惡以軟體攻擊。（圖／WordPress）[/caption]

感染機制深度解析，從PHP控制器到持久性木馬植入

外媒報導，這次惡意軟體攻擊採用多層次手法，包含基於PHP的下載器、高度混淆的程式碼、基於IP的規避技術、自動生成的批次腳本，以及一個惡意的ZIP壓縮檔，包含最終的Windows木馬酬載，檔名為client32.exe。

至於感染機制，關鍵在於一個精密的PHP控制器系統，它能分析訪客資料並強制執行嚴格的反分析，主要的元件header.php檔案作為中央情報站，實施基於IP的日誌記錄，以防止同一來源的重複感染。這個檔案只回應POST請求，並在count.txt中維護一個黑名單，追蹤訪客的IP位址，確保每位受害者只接收一次酬載（Payload）。

[caption id="attachment_180081" align="aligncenter" width="1226"] 此惡意軟體透過通訊埠443與位於5.252.178.123的命令與控制（C2）伺服器建立隱藏連線。（圖／SUCURi）[/caption]

惡意軟體的酬載傳遞系統展現了技術複雜性，特別是其動態生成批次檔案的能力。當識別到新的受害者時，header.php會建立一個Windows批次腳本，統籌整個感染過程。這個腳本利用混淆語法的PowerShell指令，從外部伺服器下載惡意ZIP壓縮檔，並專門針對%APPDATA%目錄進行酬載儲存。

另外，持久性機制是這次攻擊中最令人擔憂的層面之一。當生成的批次腳本執行後，它會修改Windows登錄檔，在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 中添加一個條目，確保木馬程式 client32.exe 在系統啟動時自動運行。這種登錄檔修改保證了惡意軟體在系統重啟和使用者會話間的持續運作。最終的酬載會建立一個與指令與控制（C2）伺服器 5.252.178.123（埠號443）的後門連線，實現了進階持續性威脅典型的遠端存取能力。

該惡意軟體還包含清理機制，會移除初始下載痕跡，但會刻意保留已解壓縮的可執行檔以供持續操作。

資料來源：Cyber Security News

這篇文章 WordPress發現高階惡意軟體 多階段攻擊隱匿性高、訪客電腦恐遭木馬攻擊 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 示意圖：123RF 資安業者Patchstack在稍早發出警告，指出網頁製作平台／網站管理系統W …

編譯／鄭智懷

資安業者Patchstack在稍早發出警告，指出網頁製作平台／網站管理系統WordPress名下，全球下載數超過兩百萬的外掛程式Advanced Custom Fields和Advanced Custom Fields Pro（6.1.5及之前的版本）內含安全漏洞CVE-2023-30777，使駭客能輕易竊取資料，建議無論是免費版和專業版用戶都應盡速更新至6.1.6版。

研究指出，CVE-2023-30777使駭客在無須身分驗證的情況下，就能透過反射式跨網站指令碼（Reflected XSS）攻擊手法入侵受害者設備。

所謂反射式跨網站指令碼，意指攻擊方利用網頁開發過程的漏洞，將惡意程式先行植入網頁中，接著利用網路釣魚郵件、社群媒體等方式散播連結。當網路用戶點擊連結並登入網頁後，隨即遭到潛藏的惡意程式攻擊。由於攻擊者透過上述的電子郵件與社群媒體等途徑散播惡意程式，蒙受反射式跨網站指令碼攻擊之害者的數量通常比儲存式跨網站指令碼（stored XSS）攻擊更多。

分析過程發現，形成CVE-2023-30777的主因在於開發者在編寫程式的過程中並未確實執行清理動作，導致為HTML創造出多餘的變數（variable）。

值得注意的是，CVE-2023-30777在Advanced Custom Fields安裝時將被設為預設值；而跨網站指令碼也只有有權訪問Advanced Custom Fields的用戶才能啟動。而攻擊者就是透過上述攻擊手法，藉此提高在WordPress上的權限，竊取受害者資料。

Patchstack提到，在各方努力下，CVE-2023-30777於5月2日被發現且向開發商通報；5月4日，免費版和專業版Advanced Custom Fields的6.1.6版更新檔已經釋出。

資料來源：The Hacker News

這篇文章 WordPress新外掛程式出現漏洞　駭客可輕易竊取資料 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 網路業者GoDaddy旗下子公司Sucuri在2022年11月揭露駭客發動AdSense詐欺活動 …

編譯／鄭智懷

網路業者GoDaddy旗下子公司Sucuri在2022年11月揭露駭客發動AdSense詐欺活動後，於本周稍早警告該活動範圍已經擴大，有超過一萬個WordPress 網站受感染。

The Hacker News報導，AdSense詐欺活動始於2022年9月，受害者在登入假網站後，就會被轉往受感染的WordPress 網站，企圖增加垃圾網站的點擊率與權威性。

Ben Martin在報告中指出，犯罪者將假造網址偽裝為流行的縮短網址，欺騙粗心的受害者點及，接著轉移到指定的問答網站，達到增加流量的目的。據統計，已知的偽造縮短網址約有70餘個。

Sucuri研究員Ben Martin提到，該詐欺活動主要是透過人為增加包含AdSense ID的網頁流量執行廣告詐欺，其中包含可創造收入的谷哥（Google）廣告。Ben Martin認為，犯罪者「可能是想說服谷哥，讓其相信來自不同IP位址、不同瀏覽器的真實用戶正在點擊他們的（假）網站」，「表示這些網頁被熱門搜尋」。

Ben Martin解釋，上述的行動會導致特定廣告的瀏覽量與點擊數增加，進而提高廣告持有者的收入。他補充：「這是一場非常大規模且持續不斷的組織性廣告收入詐騙活動。」

目前，研究團隊還未發現任何可以證實WordPress 網站最初是如何被感染的證據。該團隊警告，一旦網站被攻破，犯罪者就會植入後門 PHP程式碼,，允許持續性遠端控制，及轉移受害者至指定網站。而在清除所有惡意軟體之前，其後門程式碼會不斷重新感染網站，確保其能為犯罪者繼續牟取不法利益。

資料來源：The Hacker News

這篇文章 駭客發動大規模詐欺活動 上萬個WordPress網站受感染 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 俄羅斯資安公司Doctor Web發布最新報告，聲稱全球最受歡迎的網頁製作平台/ 網站管理系統W …

編譯／鄭智懷

俄羅斯資安公司Doctor Web發布最新報告，聲稱全球最受歡迎的網頁製作平台/ 網站管理系統WordPress有30個外掛與樣式存有嚴重漏洞，已經成為Linux惡意軟體的重點攻擊目標。

Doctor Web表示：「假使網站使用版本老舊的外掛與樣式，缺乏安全漏洞的補丁，目標網頁將被植入惡意JavaScript。」當網頁用戶進入該網站後，將被轉移至其他惡意網站。報告提到，惡意軟體的第一個版本將WordPress網站上的19個外掛與樣式武器化，用於植入惡意程式；而該惡意軟體的第二個版本則涵蓋另外11個外掛，使駭客可以利用其中的漏洞入侵受害者電腦。

據悉，該軟體的兩個版本還具有暴力破解WordPress網站管理員帳戶的功能；不過，目前並不清楚開發者是利用已知的老舊安全漏洞，或是其他未知的安全漏洞。

Doctor Web指出：「如果是利用較新的版本入侵，網路犯罪者甚至能攻擊使用最新更新版本的用戶。」

然而，該公司仍然建議，WordPress的用戶應該保持所有外掛與樣式為最新版本，並且使用強大且唯一的帳戶名和密碼以保護自己的帳戶。

事實上，在本起安全漏洞事件之外，WordPress在去年已經出現多起攻擊事件。譬如在2022年6月，網路公司GoDaddy旗下的資安團隊發現駭客利用名為Parrot 的流量導向系統（Traffic Direction System）向WordPress 網站植入多款惡意軟體；12月，該公司統計指出，有超過1.5萬個WordPress網站遭到破壞。此外，網路安全設備商Fortinet揭露殭屍網路GoTrim利用WordPress的內容管理系統（Content Management System）破解並奪取網站控制權。

資料來源：The Hacker News

這篇文章 <a>WordPress</a>成為Linux惡意軟體最新攻擊目標 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。