Производителя e-commerce софта взломали ради масштабной атаки на цепочку поставок - «Новости»

  • 10:30, 15-сен-2022
  • Новости / Заработок / Добавления стилей / Вёрстка / Отступы и поля / Преимущества стилей / Текст / Изображения
  • Маланья
  • 0

О взломе сообщила британская компания FishPig, занимающаяся разработкой e-commerce решений (в основном для интеграций Magento-WordPress), которые в общей сложности загружены более 200 000 раз. Неизвестные внедрили в продукты компании бэкдор Rekoobe, чтобы атаковать клиентов.


Эксперты компании Sansec детально описали атаку в своем отчете. По их данным, неизвестные злоумышленники получили контроль над серверной инфраструктурой FishPig и добавили вредоносный код в ПО компании. Исследователи подтверждают компрометацию таких продуктов, как FishPig Magento Security Suite и FishPig WordPress Multisite, и предупреждают, что другие платные расширения, вероятно, тоже взломаны. Бесплатные инструменты, размещенные компанией на GitHub, эта атака, похоже, не затронула.


По информации экспертов, хакеры внедрили вредоносный код в файл License.php, который отвечает за проверку лицензии в премиум-плагинах FishPig. Этот код загружал бинарный файл lic.bin с серверов FishPig (license.fishpig.co.uk).


Бинарник представляет собой малварь семейства Rekoobe. Ранее этот троян удаленного доступа (RAT) распространялся в связке с Linux-руткитом Syslogk. В рамках атаки на FishPig, вредонос маскируется под безобидный SMTP-сервер и может активироваться с помощью скрытых команд, связанных с обработкой startTLS. После активации Rekoobe предоставляет хакерам реверс-шелл и позволяет им удаленно отдавать команды зараженному серверу.


Sansec пишет, что пока Rekoobe бездействует и ожидает команд от расположенного в Латвии управляющего сервера хакеров, который исследователи обнаружили по адресу 46.183.217[.]2. Предполагается, что стоящие за этой атакой злоумышленники, планировали продать доступ к скомпрометированным магазинам другим преступникам.


В итоге, все, кто устанавливал или обновлял премиальные продукты FishPig до 19 августа 2022 года, должны считать свои магазины скомпрометированными и немедленно предпринять следующие действия:



  • отключить все расширения FishPig;

  • запустить сканер вредоносных программ на стороне сервера;

  • перезапустить сервер, чтобы завершить любые несанкционированные фоновые процессы;

  • добавить 127.0.0.1 license.fishpig.co.uk в /etc/hosts, чтобы заблокировать малвари исходящие соединения.


Представители FishPig сообщили журналистам издания Bleeping Computer, что в настоящее время занимаются расследованием инцидента и изучают его последствия.


«Лучший совет на данный момент — переустановить все модули FishPig. Людям не нужно обновляться до последней версии (хотя они могут), так как простая переустановка той же версии гарантирует, что у них будет чистый код, поскольку весь зараженный код уже удален из FishPig.


Заражение ограничивалось обфусцированным кодом в одном файле нашей отдельной лицензии.fishpig.co.uk, и он уже удален, а мы добавили защиту от будущих атак. FishPig.co.uk не пострадал.


Приносим извинения за те неудобства, с которыми могли столкнуться пользователи. Это была чрезвычайно умная таргетированная атака, и в будущем мы будем более бдительными», — сообщили в компании.


О взломе сообщила британская компания FishPig, занимающаяся разработкой e-commerce решений (в основном для интеграций Magento-WordPress), которые в общей сложности загружены более 200 000 раз. Неизвестные внедрили в продукты компании бэкдор Rekoobe, чтобы атаковать клиентов. Эксперты компании Sansec детально описали атаку в своем отчете. По их данным, неизвестные злоумышленники получили контроль над серверной инфраструктурой FishPig и добавили вредоносный код в ПО компании. Исследователи подтверждают компрометацию таких продуктов, как FishPig Magento Security Suite и FishPig WordPress Multisite, и предупреждают, что другие платные расширения, вероятно, тоже взломаны. Бесплатные инструменты, размещенные компанией на GitHub, эта атака, похоже, не затронула. По информации экспертов, хакеры внедрили вредоносный код в файл License.php, который отвечает за проверку лицензии в премиум-плагинах FishPig. Этот код загружал бинарный файл lic.bin с серверов FishPig (license.fishpig.co.uk). Бинарник представляет собой малварь семейства Rekoobe. Ранее этот троян удаленного доступа (RAT) распространялся в связке с Linux-руткитом Syslogk. В рамках атаки на FishPig, вредонос маскируется под безобидный SMTP-сервер и может активироваться с помощью скрытых команд, связанных с обработкой startTLS. После активации Rekoobe предоставляет хакерам реверс-шелл и позволяет им удаленно отдавать команды зараженному серверу. Sansec пишет, что пока Rekoobe бездействует и ожидает команд от расположенного в Латвии управляющего сервера хакеров, который исследователи обнаружили по адресу 46.183.217_

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!