خادم مكشوف يكشف عن اختراق 25 ألف موقع ووردبريس ..ترفيه و منوعات

ترفيه و منوعات بواسطة : (وكالة خبر) -

كشف خادم تابع لمجموعة قرصنة عن أدوات وسجلات وبيانات سحابية وآلاف "الويب شل" المستخدمة في حملة اختراق واسعة النطاق لمواقع ووردبريس، مما أتاح للباحثين نظرة داخلية على كيفية تنفيذ الهجمات الضخمة.

وفقًا لتقارير SOCRadar، ظل خادم مكشوف يعود لمجموعة تهديدات تُعرف باسم WP-SHELLSTORM متاحًا للعامة لمدة ثلاثة أسابيع تقريبًا. وقد سمح خطأ تشغيلي بسيط من قبل المجموعة، مثل ترك مجلد خادم بايثون البسيط مفتوحًا بدون مصادقة، بالكشف عن تفاصيل عملياتهم الصناعية. وقد أبرز هذا الحادث ضعف تقييم العديد من المؤسسات لتعرضها الخارجي، حيث يتم ذلك غالبًا فقط عند نشر ثغرات أمنية خطيرة أو خلال تقييمات دورية.

عملت WP-SHELLSTORM كمنصة لبيع الوصول إلى مواقع تم اختراقها، حيث قامت باختراق المواقع بكميات كبيرة قبل إعادة بيع الوصول إليها. احتوى خادمهم على حوالي 800 ميجابايت من البيانات، بما في ذلك أدوات الاستغلال، و"الويب شل"، وقوائم الأهداف، وسجلات النشاط، وسجل الأوامر. كشفت الملفات المكشوفة عن كيفية قيام المجموعة باختراق المواقع الضعيفة، مما وفر رؤى جديدة حول عمليات "الويب شل" واسعة النطاق على ووردبريس. بدلاً من استخدام ثغرات يوم الصفر، قامت المجموعة بأتمتة الهجمات ضد عيوب معروفة في إضافات ووردبريس القديمة، مستغلة بذلك نقاط الضعف في أمان مواقع ووردبريس.

دعمت مجموعة الأدوات الخاصة بهم استغلال 27 ثغرة أمنية معروفة، مع العلم أن عددًا قليلاً منها كان مسؤولاً عن معظم النشاط. كان الهجوم الأكثر نجاحًا يستهدف إضافة التخزين المؤقت Breeze لووردبريس (CVE-2026-3844)، والتي استهدف المهاجمون بها أكثر من 45 ألف موقع. ووفقًا لسجلات المجموعة نفسها، تم نشر أكثر من 17 ألف "ويب شل"، مما يجعلها واحدة من أكبر هجمات "الويب شل" على ووردبريس الموثقة هذا العام. ومع ذلك، لاحظ الباحثون أن الثغرة تؤثر فقط على تثبيتات Breeze التي تم فيها تمكين خيار "Host Files Locally – Gravatars" غير الافتراضي، مما يحد من عدد المواقع المعرضة للخطر حقًا. كما استهدف المهاجمون أيضًا CVE-2026-48907، وهي ثغرة في محرر JCE الخاص بجوملا.

بالرغم من أن البيانات المكشوفة أشارت إلى أكثر من 1.4 مليون موقع، حذر الباحثون من أن هذا الرقم يمثل أهدافًا للمسح وليس ضحايا مؤكدين. وقد حددت Ctrl-Alt-Intel حوالي 25195 موقعًا تم اختراقها بنجاح، بينما لاحظت SOCRadar أكثر من 5700 "ويب شل" نشط. بعد نجاح استغلال موقع ضعيف، قام المهاجمون بتثبيت "ويب شل" مشفر يسمى down.php، والذي يُعتقد أنه مشتق من "BestShell" مفتوح المصدر. أتاح هذا الباب الخلفي للمهاجمين تنفيذ الأوامر عن بعد، وتصفح الملفات، وسرقة بيانات الاعتماد، وإنشاء اتصالات عكسية، والتحرك جانبيًا داخل البيئات المخترقة. ولزيادة الثبات، قام المشغلون بنشر أداة SNOWLIGHT لتثبيت VShell، وهي أداة وصول عن بعد تتنكر كعملية نواة لينكس شرعية.

كشفت الخادم المكشوف أيضًا عن دليل لحملة سابقة استهدفت خوادم تكوين Nacos الضعيفة باستخدام CVE-2021-29441، مما سمح للمهاجمين بتجاوز المصادقة وسرقة بيانات التكوين. كما تم استرداد بيانات اعتماد سحابية لـ AWS و Oracle Cloud و Alibaba Cloud و Tencent Cloud و DigitalOcean، بالإضافة إلى كلمات مرور قواعد البيانات والمفاتيح التشفيرية. وتشير هذه التسلسلات إلى أن المجموعة قامت أولاً بجمع بيانات اعتماد الشركات قبل التحول إلى حملة اختراق المواقع ذات الحجم الكبير.

على الرغم من تشغيلهم لمجموعة أدوات متطورة، ارتكب المهاجمون العديد من أخطاء الأمان التشغيلي، أبرزها ترك خادم ويب بايثون غير مصادق عليه متاحًا للعامة لمدة 22 يومًا. وبناءً على اللغة الصينية المبسطة الموجودة في الملفات واستخدام FOFA والبرامج الضارة المستخدمة، يقدر الباحثون بثقة معتدلة إلى عالية أن المشغلين صينيون أو يتحدثون الصينية، ويعتقدون أن الدافع وراء الحملة كان ماليًا وليس مرتبطًا بعملية ترعاها الحكومة.

مشاهدة خادم مكشوف يكشف عن اختراق 25 ألف موقع ووردبريس

يذكر بـأن الموضوع التابع لـ خادم مكشوف يكشف عن اختراق 25 ألف موقع ووردبريس قد تم نشرة ومتواجد على قد تم نشرة اليوم ( ) ومتواجد على وكالة خبر ( اليمن ) وقد قام فريق التحرير في برس بي بالتاكد منه وربما تم التعديل علية وربما قد يكون تم نقله بالكامل اوالاقتباس منه ويمكنك قراءة ومتابعة مستجدادت هذا الخبر او الموضوع من مصدره الاساسي.

التفاصيل من المصدر - اضغط هنا :::

وختاما نتمنى ان نكون قد قدمنا لكم من موقع Pressbee تفاصيل ومعلومات، خادم مكشوف يكشف عن اختراق 25 ألف موقع ووردبريس.

آخر تحديث :

في الموقع ايضا :

الاكثر مشاهدة ترفيه و منوعات
جديد الاخبار