🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

الهجمات الإلكترونية على مواقع ووردبريس: تحليل للتهديدات المتقدمة والتوصيات الأمنية

1–2 minutes

تتزايد الهجمات الإلكترونية على المواقع الإلكترونية التي تعمل بنظام إدارة المحتوى ووردبريس (WordPress) بشكل مقلق، حيث تعرض أكثر من 1,000 موقع للاختراق من خلال شيفرة جافا سكريبت (JavaScript) ضارة تسهل إدخال أربع نقاط دخول خلفية (Backdoors). هذه الهجمات تبرز التحديات الأمنية المتزايدة التي تواجهها المنصات الرقمية اليوم.

تحليل الهجوم وأبعاده التقنية

وفقًا لما أشار إليه الباحث الأمني هيمانشو أناند، فإن إنشاء أربع نقاط دخول خلفية يسمح للمهاجمين بالحصول على نقاط دخول متعددة في حال اكتشاف وإزالة إحداها. الشيفرة الخبيثة يتم تقديمها عبر النطاق cdn.csyndication[.]com، حيث تم العثور على أن 908 مواقع تحتوي على إشارات إلى هذا النطاق.

وظائف نقاط الدخول الخلفية الأربعة تشمل:

  • النقطة الأولى: تحميل وتثبيت إضافة مزيفة باسم “Ultra SEO Processor” التي تُستخدم لتنفيذ أوامر المهاجم.
  • النقطة الثانية: حقن شيفرة جافا سكريبت ضارة في ملف wp-config.php.
  • النقطة الثالثة: إضافة مفتاح SSH يتحكم فيه المهاجم إلى ملف ~/.ssh/authorized_keys للسماح بالوصول البعيد المستمر.
  • النقطة الرابعة: تصميم لتنفيذ أوامر عن بُعد واسترجاع تحميلات أخرى من gsocket[.]io لفتح قناة عكسية (Reverse Shell).

التوصيات الأمنية والاستجابة

لتقليل المخاطر المرتبطة بهذه الهجمات، يُنصح المستخدمون بحذف مفاتيح SSH غير المصرح بها، وتدوير بيانات اعتماد المسؤول في ووردبريس، ومراقبة سجلات النظام لاكتشاف أي نشاط مشبوه.

بالإضافة إلى ذلك، كشفت شركة أمنية عن حملة برمجيات خبيثة أخرى حيث تم اختراق أكثر من 35,000 موقع بشيفرة جافا سكريبت تضليلية تقوم بإعادة توجيه الزائرين إلى منصات قمار باللغة الصينية. هذه الهجمات تستهدف المناطق التي يُستخدم فيها الماندرين بشكل شائع.

التوجهات الحديثة والتهديدات الناشئة

تشير تقارير إلى أن جهة تهديد تُعرف باسم “ScreamedJungle” قامت بحقن شيفرة جافا سكريبت تُسمى Bablosoft JS في مواقع Magento المخترقة لجمع بصمات المستخدمين الزائرين. هذه الشيفرة هي جزء من مجموعة Bablosoft BrowserAutomationStudio (BAS)، وتحتوي على وظائف لجمع معلومات عن النظام والمتصفح.

يتم استغلال الثغرات المعروفة في إصدارات Magento الضعيفة (مثل CVE-2024-34102 وCVE-2024-20720) لاختراق المواقع. تم اكتشاف هذه الجهة لأول مرة في مايو 2024.

السياق والآثار الأمنية

تُعتبر بصمات المتصفح تقنية قوية تستخدمها المواقع لتتبع أنشطة المستخدمين وتخصيص استراتيجيات التسويق، ولكن يتم استغلال هذه المعلومات من قبل المجرمين الإلكترونيين لمحاكاة سلوك المستخدم الشرعي وتفادي الإجراءات الأمنية وتنفيذ أنشطة احتيالية.

هل تعتقد أن الشركات والمؤسسات تقوم بما يكفي لحماية مواقعها من تهديدات مثل هذه؟ شاركنا رأيك وتابعنا على تويتر وفيسبوك للمزيد من المحتوى الحصري.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة