被植入后门的Smart Slider 3 Pro更新通过被入侵的插件服务器部署

执行摘要

不明攻击者对商业化的WordPress和Joomla插件Smart Slider 3 Pro执行了软件供应链攻击。通过入侵插件开发商Nextend的更新分发服务器，威胁行为者推送了一个包含后门的恶意更新，版本号为3.5.1.35。这个后门赋予攻击者对受影响的WordPress站点的管理员访问权限，使其能够完全控制。该事件首先由WordPress安全公司Patchstack识别并报告。目前尚不清楚此次入侵的范围以及应用了恶意更新的网站数量。

技术分析

此次攻击集中在Smart Slider 3 Pro的更新机制上，这是一个高级插件，其免费和付费版本共有超过80万活跃安装。根据Patchstack的分析，威胁行为者控制了负责向Pro版本提供更新的基础设施。这使他们能够用被篡改的版本替换合法的3.5.1.35更新包。

后门被植入在插件的核心文件中。当在易受攻击的站点上执行时，它会创建一个新的管理员用户账户。账户创建的具体方法和使用的凭据在公开报告中没有详细说明，但该功能为攻击者提供了对WordPress管理仪表板的持续、特权访问权限。从这个位置，他们可以安装额外的恶意软件、窃取数据或破坏站点。攻击通过颠覆受信任的更新渠道本身，绕过了专注于插件漏洞（CVEs）的传统安全措施。

入侵指标

目前尚未识别出任何入侵指标。公共来源尚未发布与恶意更新负载或随后攻击者活动相关的特定文件哈希值、域名或IP地址。建议组织依赖于行为检测，例如意外出现的新管理员用户，并验证Smart Slider 3 Pro插件安装的完整性。

战术、技术与程序

威胁行为者通过针对插件供应商的更新服务器，采用了明显的软件供应链入侵（T1195.002）。这种技术非常有效，因为它利用了软件及其更新机制之间的固有信任。主要目标似乎是通过创建特权用户账户来建立持久性（T1133）。初始访问向量仍然未知；不清楚攻击者是如何入侵Nextend的分发服务器的。一旦安装了后门，攻击者可以利用新的管理员账户进行进一步的初始访问（T1078）并执行一系列后续行动。

威胁行为者背景

目前尚不清楚此次事件背后的威胁行为者的身份、动机和来源。攻击的性质——通过破坏软件更新来植入后门——既符合寻求访问权限以进行凭证盗窃或勒索软件部署的财务动机团体，也符合在广泛环境中建立立足点的国家支持行为者。针对流行的WordPress插件表明，目标是广泛的、机会主义的入侵，而不是针对特定部门的集中活动。

缓解措施与建议

所有Smart Slider 3 Pro的用户都需要立即采取行动。首先，不要将插件更新到版本3.5.1.35。如果已经安装了这个版本，必须将其移除并替换。站点管理员应该：

1. 回滚插件： 完全卸载Smart Slider 3 Pro版本3.5.1.35。如果可能，从单独的、经过验证的备份源重新安装已知的干净版本。一旦解决了入侵问题，等待供应商发布官方的干净更新。
2. 审计用户账户： 彻底审查WordPress仪表板中的所有用户账户，特别是管理员账户。立即移除任何不熟悉或可疑的管理员账户。
3. 检查进一步的入侵： 假设站点可能已经被完全入侵。扫描其他恶意文件、webshells或意外的代码注入。审查服务器和WordPress日志，查看插件更新期间的异常活动。
4. 实施一般加固： 这一事件强调了高级插件自动更新的风险。在可能的情况下，实施一个带有完整性验证的受控更新过程。保持定期的、隔离的备份，以便于从此类供应链攻击中恢复。