EssentialPlugin WordPress Suite 被入侵部署后门影响数千网站

执行摘要

一起广泛的供应链攻击已经破坏了包含超过30个流行WordPress插件的EssentialPlugin套件，注入了一个后门，使攻击者能够完全控制受影响的网站。恶意代码被插入到通过WordPress.org存储库分发的官方插件文件中，影响了数千个站点。后门创建了一个秘密管理员账户，并与命令与控制（C2）服务器建立了持久的通信渠道，允许进行进一步的恶意行动。安全研究人员发现并报告了这一妥协行为，促使WordPress插件团队进行了强制更新。

技术分析

这次攻击涉及在EssentialPlugin套件中的多个插件中插入混淆的PHP代码。根据安全公司Jetpack的分析，恶意有效载荷旨在WordPress初始化阶段（wp_loaded动作）以高优先级执行。代码的主要功能有两个：首先，创建一个带有硬编码用户名和电子邮件地址的新管理用户账户，有效地为攻击者提供了一个合法的WordPress仪表板后门。其次，代码建立了与外部C2服务器的连接，发送站点信息并等待进一步的指令，可能包括下载额外的有效载荷或执行任意命令。

后门代码经过了大量混淆，使用了base64编码和字符串连接等技术来逃避基本检测。看来攻击者获得了插件开发者的WordPress.org SVN存储库的访问权限——这是用于分发官方插件更新的系统——并直接提交了受污染的代码。这种方法确保了任何运行受影响插件并配置为自动更新的站点都会悄无声息地接收并执行恶意更新。目前尚不清楚初始开发者账户被破坏的确切途径。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

攻击者采用了经典的软件供应链攻击（T1195.002：破坏软件供应链），利用受信任的更新机制来分发他们的有效载荷。观察到的主要技术是服务器软件组件：WordPress插件（T1505.003），其中恶意代码被植入到合法插件中。混淆（T1027）被用来隐藏注入代码的恶意意图。创建隐藏的管理员账户构成了**创建账户：云账户（T1136.003）以保持持久性。回调到C2服务器属于应用层协议：Web协议（T1071.001）**用于命令和控制。该操作表明了对WordPress生态系统和信任模型的理解，利用自动更新过程实现广泛、无声的分发。

威胁行为者背景

目前尚不清楚此次行动背后的威胁行为者的身份和动机。影响插件套件的规模——影响数千个活跃安装——表明这是一个寻求建立僵尸网络以进行后续攻击（如凭证盗窃、SEO垃圾邮件或勒索软件部署）的财务动机团体。或者，后门访问权限可能被出售给其他犯罪集团。目前没有公开证据将此活动与已知的高级持续性威胁（APT）团体联系起来。包括使用存储库访问而不是劫持网站在内的操作安全显示，表明了中等水平的复杂性。

缓解措施与建议

WordPress管理员必须立即采取行动。WordPress插件团队已在官方存储库中强制更新所有受影响的插件到干净版本（大多数为2.9.8）。敦促站点所有者：

1. **验证插件版本：**立即确保所有EssentialPlugin套件插件都更新到2.9.8版本或更高版本。检查WordPress管理仪表板中的“插件”部分。
2. **审计用户账户：**手动审查WordPress数据库中的所有用户账户，特别是寻找最近创建的任何不熟悉的管理员账户。密切关注不是由合法管理员创建的用户名或电子邮件地址。
3. **扫描入侵迹象：**使用信誉良好的安全插件或外部网站扫描器检查入侵迹象，包括意外的文件、数据库条目或恶意重定向。
4. **审查日志：**检查服务器访问日志和WordPress审计日志（如果可用），在插件更新期间寻找可疑活动。
5. **实施强认证：**确保所有管理员账户使用强大、独特的密码，并启用双因素认证（2FA）。
6. **考虑临时移除：**作为预防措施，一些管理员可能会选择暂时停用EssentialPlugin插件，直到他们可以完成彻底的安全审查，如果功能允许。