گوگل اعلام کرده است که گروه هکری UNC5142 با استفاده از روشی نوین، بیش از ۱۴ هزار وبسایت وردپرسی را آلوده کردهاند. این مهاجمان با هدف انتشار بدافزار در سطح وب، از فناوری بلاکچین برای پنهانسازی کدهای مخرب بهره گرفتهاند.
جزئیات حمله به وردپرس
وردپرس با میزبانی بیش از ۴۳٪ از کل وبسایتهای اینترنتی، هدفی جذاب برای حملات سایبری محسوب میشود. گروه UNC5142 با بهرهگیری از آسیبپذیریهای موجود در قالبها، افزونهها و پایگاهدادههای وردپرس، به این سایتها نفوذ کردهاند.
هکرها ابتدا دانلودری جاوااسکریپتی به نام CLEARSHORT را روی سایتها نصب کردهاند. این ابزار وظیفه توزیع بدافزار را برعهده دارد و سپس تکنیک EtherHiding را فعال میکند.
استفاده از بلاکچین برای پنهانسازی بدافزار
گوگل در گزارش خود توضیح داده است که EtherHiding کدهای مخرب را در بلاکچین عمومی مانند BNB Smart Chain ذخیره میکند. این روش باعث میشود شناسایی و حذف بدافزار بسیار دشوار شود. قرارداد هوشمند حاوی کد مخرب، لندینگپیج CLEARSHORT را فراخوانی میکند که معمولاً روی Cloudflare میزبانی میشود.
در مرحله بعد، مهاجمان از روش مهندسی اجتماعی ClickFix استفاده میکنند. این تکنیک کاربران را فریب میدهد تا دستورهای مخرب را از طریق پنجره Run در ویندوز یا ترمینال مک اجرا کنند.
انگیزه مالی و توقف فعالیت UNC5142
گوگل اعلام کرده که گروه هکری UNC5142 از سال ۲۰۲۳ تحت نظارت امنیتی قرار داشته و بیشتر حملات سایبری این گروه با اهداف مالی انجام شدهاند. این مهاجمان با استفاده از آسیبپذیریهای وردپرس، بدافزارهایی را در سطح وب منتشر کردهاند. گوگل هشدار داده که UNC5142 از تکنیکهای پیشرفتهای مانند EtherHiding و ابزار CLEARSHORT برای نفوذ به بیش از ۱۴ هزار وبسایت وردپرسی استفاده کرده است. با وجود فعالیتهای گسترده، این گروه از ژوئیه ۲۰۲۵ فعالیت خود را متوقف کرده است. این گزارش امنیتی اهمیت تقویت امنیت وردپرس و مقابله با بدافزارهای بلاکچینی را نشان میدهد.
منبع: دیجیاتو
نظرات کاربران