حمله گسترده به بیش از ۱۴ هزار وب‌سایت وردپرس

بیش از ۱۴ هزار وب‌سایت وردپرس هدف حمله گسترده‌ای از سوی گروه سایبری ناشناخته‌ای با نام رمز UNC5142 قرار گرفته‌اند.

به گزارش تک‌ناک، به گفته‌ گروه اطلاعات تهدید گوگل (GTIG)، این حمله با استفاده از روشی تازه و پیچیده به نام EtherHiding انجام شده است.

وردپرس به‌ عنوان محبوب‌ترین سیستم مدیریت محتوای جهان، زیربنای بیش از ۴۳ درصد از کل وب‌سایت‌های اینترنتی را تشکیل می‌دهد و همین موضوع باعث شده است که این حمله موجی از نگرانی را میان کارشناسان امنیت سایبری به‌وجود آورد.

گزارش GTIG نشان می‌دهد که عاملان UNC5142 با سوءاستفاده از افزونه‌ها، قالب‌ها و پایگاه‌های داده‌ آسیب‌پذیر به وب‌سایت‌ها نفوذ کرده‌اند. پس از ورود، کد مخربی با نام CLEARSHORT روی سایت تزریق می‌شود؛ یک دانلودر چندمرحله‌ای جاوااسکریپت که مسئول اجرای فرایند انتشار بدافزار در مراحل بعدی است. این کد به مهاجمان اجازه می‌دهد تا از طریق آن، تکنیک EtherHiding را فعال کنند و بدافزار خود را با روشی تقریباً غیرقابل‌ردیابی در سراسر وب گسترش دهند.

شرکت گوگل در گزارش خود توضیح داده است که EtherHiding در واقع روشی برای پنهان‌سازی کدهای مخرب در بلاک‌چین‌های عمومی مانند BNB Smart Chain است. این روش از قراردادهای هوشمند برای ذخیره‌ داده‌های آلوده استفاده می‌کند و در نتیجه، حذف یا مسدودسازی کدهای بدافزار تقریباً غیرممکن می‌شود. در مرحله‌ی بعد، قرارداد هوشمند یک صفحه‌ فرود CLEARSHORT را فراخوانی می‌کند که معمولاً در زیرساخت‌های توسعه‌ Cloudflare میزبانی می‌شود.

در این صفحه، ترفند مهندسی اجتماعی جدیدی با نام ClickFix به کار گرفته شده است تا بازدیدکنندگان را فریب دهد و آنها را ترغیب کند تا دستورهای مخرب را در پنجره‌ Run سیستم‌عامل Windows یا برنامه‌ Terminal در macOS اجرا کنند. با این ترفند، کاربر به‌طور ناخواسته کدهای آلوده را فعال می‌کند و سیستم او در معرض کنترل از راه دور یا سرقت اطلاعات قرار می‌گیرد.

گروه GTIG بیان کرده است که حملات UNC5142 انگیزه‌ مالی دارند و این گروه از سال ۲۰۲۳ تحت نظارت بوده است. با وجود این، فعالیت‌های شناخته‌شده‌ آن از جولای ۲۰۲۵ به‌ طور ناگهانی متوقف شده است. کارشناسان احتمال می‌دهند که UNC5142 روش‌های خود را تغییر داده است و اکنون با تکنیک‌های پیچیده‌تر و پنهان‌تر به فعالیت ادامه می‌دهد.

به‌ گفته‌ پژوهشگران گوگل، استفاده از بلاک‌چین برای توزیع بدافزار، روندی خطرناک و رو‌به‌رشد است، که امکان ردیابی سنتی را از بین می‌برد و راهکارهای امنیتی متداول را بی‌اثر می‌کند. GTIG هشدار داده است که مهاجمان با ترکیب فناوری‌های جدید مانند بلاک‌چین، هوش مصنوعی و شبکه‌های ابری، در حال ساخت نسل تازه‌ای از حملات سایبری هستند که مقابله با آنها نیازمند همکاری گسترده بین شرکت‌های فناوری و تیم‌های امنیتی است.

کارشناسان امنیت سایبری توصیه می‌کنند که مدیران وب‌سایت‌های وردپرس تمام افزونه‌ها و پوسته‌های خود را به‌روز نگه دارند، از منابع معتبر استفاده کنند و به‌صورت منظم از داده‌های خود نسخه‌ پشتیبان تهیه نمایند. همچنین آنها هشدار داده‌اند که صفحات توسعه‌دهنده‌ Cloudflare باید به‌دقت مورد بررسی قرار گیرد و هرگونه کد یا صفحه‌ ناشناس بلافاصله حذف یا قرنطینه شود.

در پایان، GTIG تأکید کرده است که حمله UNC5142 به بیش از ۱۴ هزار وب‌سایت وردپرس، نمونه‌ای از تحول مداوم در شیوه‌های نفوذ سایبری است؛ تحولاتی که نشان می‌دهد مجرمان دیجیتال با بهره‌گیری از فناوری‌های نوین در حال عبور از مرزهای سنتی امنیت اطلاعات هستند و مقابله با آنها تنها با آگاهی، آموزش مستمر و به‌کارگیری ابزارهای امنیتی پیشرفته ممکن خواهد بود.