Certified Security Operations Center GmbH

13. März 2024

Cyber-Bedrohung im Fokus: Der „Linux Backdoor WordPress Exploit 2“-Angriff

In der neuesten Sicherheitsanalyse unserer Leitstelle wurde eine besorgniserregende Aktivität identifiziert, die für Unternehmen jeglicher Größe relevant ist: Ein Schadsoftware-Angriff, spezifisch benannt als „Linux.Backdoor.WordpressExploit.2“, das auf WordPress-Websites abzielt. Da Angriffe dieser Art eine ernsthafte Bedrohung darstellen, möchten wir Ihnen nicht nur die technischen Details dieses Angriffs näherbringen, sondern insbesondere auch praktische Handlungsempfehlungen an die Hand geben, mit deren Hilfe Sie Ihre IT-Infrastruktur effektiver schützen können.

Vorgehensweise der Angreifer

Die hier thematisierte Malware infiziert WordPress-basierte Websites und ermöglicht Angreifern den Fernzugriff auf den betroffenen Server. Einmal im System, kann der Angreifer Daten stehlen, zusätzliche Malware installieren oder den Server für weitere schädliche Aktivitäten nutzen.

Eine kritische Komponente der Malware ist, dass sie mit dem Command-and-Control Server in Verbindung steht, bekannt als „lobbydesires.com“. Durch DNS-Abfragen kommuniziert die Malware mit dieser Domain, um Anweisungen zu erhalten und möglicherweise gestohlene Daten zu übertragen.

Dieser Trojaner wurde für Linux-Betriebssysteme entwickelt und zielt auf WordPress-Websites ab, indem er eine Vielzahl bekannter Sicherheitslücken in veralteten Plugins und Themes ausnutzt, um bis zu 250 Prozesse gleichzeitig zu starten. Nach erfolgreichen Angriffen werden die Webseiten mit einem schädlichem JavaScript infiziert, das Besucher auf andere Seiten umleitet. Der Trojaner kommuniziert mit einem C&C-Server und kann verschiedene Befehle ausführen, darunter das Angreifen spezifischer Webseiten, das Wechseln in den Standby-Modus und das Stoppen seiner eigenen Protokollierung. Zusätzlich gibt es eine implementierte Funktionalität für Brute-Force-Angriffe auf Administrator-Accounts.

Unsere Handlungsempfehlungen:

  • Überwachen Sie den Netzwerkverkehr auf Anfragen an die verdächtige Domain „lobbydesires.com“. Eine solche Kommunikation kann ein Indikator für eine Infektion sein.
  • Stellen Sie sicher, dass alle Ihre WordPress-Installationen auf dem neuesten Stand sind. Dies beinhaltet die Aktualisierung von WordPress selbst sowie von Themes und Plugins.
  • Führen Sie regelmäßige Sicherheitsüberprüfungen Ihrer Webserver durch. Dazu gehören das Scannen auf Malware und die Überprüfung von Sicherheitskonfigurationen.
  • Sensibilisieren Sie Ihre Mitarbeiter für Cyberbedrohungen. Diese sollten geschult werden, verdächtige Aktivitäten zu erkennen und entsprechend zu melden.
  • Implementieren Sie eine robuste Backup-Strategie. Im Falle einer Infektion ermöglichen Backups eine schnellere Wiederherstellung Ihrer Systeme.
  • Beschränken Sie den Zugriff auf Ihre WordPress-Installationen. Verwenden Sie starke, einzigartige Passwörter und ziehen Sie die Nutzung einer Zwei-Faktor-Authentifizierung in Betracht.

Die Bedrohung durch „Linux.Backdoor.WordpressExploit.2“ ist ein ernstes Anzeichen dafür, dass Cyberkriminalität ständig fortschreitet. Es ist von größter Bedeutung, dass Unternehmen proaktiv bleiben, ihre Sicherheitsprotokolle regelmäßig überprüfen und ihre Mitarbeiter entsprechend trainieren. Wenn Sie die genannten wichtigen Handlungsempfehlungen beachten, können Sie einen entscheidenden Beitrag zur Sicherheit Ihrer digitalen Infrastruktur leisten.

error: