İnternet güvenliği analistleri, GoDaddy’nin Managed WordPress hizmetinde barındırılan web sitelerinde aynı türden payload backdoor saldırılarında önemli bir artış tespit etti.
Söz konusu saldırılar, MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet ve Host Europe Managed WordPress gibi internet hizmeti satıcılarını etkiliyor.
Backdoor açma saldırıları Wordfence tarafından 11 Mart 2022’de keşfedildi. 24 saat içinde backdoor açılan 298 web sitesinin 281’i GoDaddy tarafından barındırılmakta.
Eski bir spammer
Tüm bu web sitelerini etkilemiş olan backdoor, kötü amaçlı sayfaları arama sonuçlarına enjekte etmek için kullanılan C2’den spam bağlantı şablonlarını getirmek için wp-config.php’ye yerleştirilmiş bir 2015 Google arama SEO zehirleme aracı olarak kullanılmakta.
Saldırılar esas olarak, gerçek içerik yerine güvenliği ihlal edilmiş web sitelerinin ziyaretçilerine sunulan taslak halindeki spam şablonlarını kullanır.
Bu şablonların amacı, kurbanları sahte ürünler satın almaya ikna ederek, tehdit aktörlerinin kurbanların ödeme bilgilerini ele geçirmesini sağlamaktır.
Ek olarak tehdit aktörleri, içeriğini değiştirerek ve ihlali belirgin hale getirerek bir web sitesinin itibarına zarar verebilir. Ancak bu durumda şu anda siber saldırganların birincil amacı gibi görünmemekte.
Bu tür saldırıların tarayıcıda değil sunucuda gerçekleşmesi, saldırıların kullanıcı tarafından tespit edilmesi ve durdurulmasını daha zor hale getirmekte. Bu tip saldırılar genellikle yerel internet güvenlik araçları tarafından tespit edilememekte.
Tedarik zinciri saldırısı mı?
Saldırı karakteristik özellikleri sebebiyle bir tedarik zinciri saldırısına (supply chain attack) benzetilmekte.
Bu olasılık hakkında daha fazla bilgi edinmek için GoDaddy ile iletişime geçildi, ancak firma yetkilileri henüz konu ile ilgili bir açıklama yapmış değil.
GoDaddy, Kasım 2021’de girişte bahsedilen 6 firma da dahil olmak üzere 1,2 milyon müşterisinin etkilendiği bir veri ihlali yaşamıştı.
Bu ihlal, şirketin Managed WordPress sitelerinin sistemine yetkisiz erişimi elde edilerek gerçekleştirilmişti. Bu nedenle, bu iki olayın bağlantılı olabileceğini öne sürmek çok da zor değil.
Bu olaylardan bağımsız olarak, web siteniz GoDaddy’nin Yönetilen WordPress platformunda barındırılıyorsa, olası backdoor saldırılarını bulmak için wp-config.php dosyasını taradığınızdan emin olun.
Kaynak: bleepingcomputer.com
Diğer Haberler
Microsoft Windows 11 Dosya Gezgini’ne Şimdilik Reklam Eklemeyecek
Microsoft’un DirectStorage API’ı Yükleme Sürelerini Büyük Ölçüde Düşürecek
Google Youtube Vanced’i Kullanımdan Kaldırtdı