Обнаружен факт несанкционированного удаленного доступа к официальному веб-сайту авторитетного государственного высшего учебного заведения Узбекистана через уязвимость в плагине WordPress!

В настоящее время информационные системы образовательных учреждений, государственных организаций и крупных корпораций стали одной из самых привлекательных целей для киберпреступников. Современные угрозы теперь реализуются не только через уязвимости в системах, но и через цепочку поставок программного обеспечения (Supply Chain). Опасность таких атак заключается в том, что киберпреступники используют обычно считающееся надежным и безопасным программное обеспечение, получая возможность проникать в информационные системы незаметно для пользователей.

В апреле 2026 года широкий резонанс во всем мире вызвали сообщения о возможности осуществления supply-chain атак через уязвимость CVE-2024-34424, обнаруженную в плагине Smart Slider 3 Pro. Вследствие данной уязвимости были зафиксированы случаи нарушения безопасности на многих сайтах WordPress. В результате проведенных исследований на официальном домене одного из авторитетных государственных высших учебных заведений нашей республики также были обнаружены признаки данной атаки, подтверждены несколько этапов цепочки атак.

Согласно исследованиям, атака стала возможна вследствие компрометации инфраструктуры разработчика плагина Smart Slider 3 Pro. Злоумышленникам удалось внедрить вредоносный код в версию плагина 3.5.1.35 и распространить его через официальные каналы обновлений. В результате сайты, установившие эту вредоносную версию, были заражены кодом, предоставляющим злоумышленникам скрытый доступ к серверу и возможность удаленного управления им.

Данный инцидент является ярким примером supply-chain атаки, при которой злоумышленники нацеливаются не непосредственно на организацию, а на используемый ею программный продукт. В результате вредоносный код проникает в систему через доверенное программное обеспечение, и пользователи могут не заметить этого сразу.

Анализ показал, что атака развивалась поэтапно в соответствии с методологиями Lockheed Martin Cyber Kill Chain и MITRE ATT&CK.

Первоначально был установлен вредоносный плагин, который разместил в системе несколько скрытых компонентов. Среди них отмечены файлы в каталоге mu-plugins, компоненты, замаскированные под ядро WordPress, специальные записи в базе данных, а также скрытые учетные записи администратора.

На следующем этапе бэкдор установил связь с командным сервером злоумышленников, зарегистрировал зараженный сайт в системе и присвоил ему уникальный идентификатор. Этот идентификатор позволял злоумышленникам в дальнейшем удаленно управлять сайтом, отслеживать его и извлекать связанную с ним информацию.

По результатам анализа, злоумышленники получили возможность удаленного выполнения различных команд на сервере через заголовки HTTP-запросов, отправляемых на сервер. Это был один из основных механизмов, использовавшихся для установления контроля над сервером.

Было установлено, что через специальные HTTP-заголовки, отправляемые на сервер, можно было выполнять команды операционной системы. Данная уязвимость позволяла злоумышленникам выполнять свои команды на сервере.

Бэкдор функционировал через заголовки X-Cache-Key и X-Cache-Status. С помощью этого механизма злоумышленники могли выполнять различные команды на сервере, проверять состояние системы и размещать новые вредоносные компоненты.

Анализ журналов (лог-файлов) показал, что начиная с 14 апреля 2026 года злоумышленники отправляли ряд тестовых команд для проверки активности бэкдора.

После этого они выполнили команды, направленные на сбор информации об операционной системе сервера, правах пользователя и конфигурации. Эти действия были предприняты для изучения возможностей системы и планирования следующих этапов атаки.

В ходе анализа одним из наиболее серьезных инцидентов было зафиксировано событие 17 апреля 2026 года, когда злоумышленнику удалось создать новый PHP-файл на сервере.

Данный файл может служить веб-шеллом (webshell) и предоставлять злоумышленникам возможность удаленного управления сервером.

Кроме того, 8 июня 2026 года было обнаружено успешное выполнение команд, отправленных на сервер методом shell injection.

Этот факт указывает на то, что уязвимость долгое время не устранялась, и злоумышленники, возможно, сохраняли доступ к системе.

Эти данные свидетельствуют о том, что атака была активна по меньшей мере два месяца, и в течение этого периода, вероятно, осуществлялся контроль над сервером.

Цели злоумышленников не ограничивались лишь проникновением в систему. В результате анализа было обнаружено, что в HTML-код сайта был внедрен крупный блок скрытого SEO-спама. Данные спам-блоки содержали сотни ссылок на азартные игры и нелегальные букмекерские сервисы.

Хотя ссылки были скрыты от обычных пользователей, они индексировались поисковыми роботами. В результате через домен университета предпринималась попытка искусственного повышения рейтинга сторонних коммерческих ресурсов в поисковых системах.

Подобная ситуация может нанести серьезный ущерб цифровой репутации организации, снизить доверие к домену в поисковых системах и привести к его попаданию в черные списки в будущем.

Одним из наиболее опасных аспектов атаки является установка злоумышленниками механизмов постоянного доступа (Persistence). Согласно результатам анализа, даже после обновления плагина вредоносные компоненты продолжали свою активность. Вплоть до 8 июня 2026 года бэкдоры отвечали на команды, отправляемые на сервер.

Это показывает, что проблема не решается простым обновлением плагина. Если вредоносные файлы, записи в базе данных или скрытые учетные записи администратора сохранились, злоумышленники могут в любой момент получить повторный доступ к системе.

Для выявления активности, связанной с данным инцидентом, и проверки наличия аналогичных следов атак в других информационных системах были сформированы индикаторы компрометации (Indicators of Compromise – IoC).

По результатам анализа было выявлено более 16 IP-адресов, связанных с атакующей активностью. Зафиксировано, что через эти IP-адреса на сервер отправлялись вредоносные запросы и наблюдалась активность, связанная с командной инфраструктурой злоумышленников. Среди выявленных адресов наибольшую активность проявил IP-адрес 124.248.183.139, через который была осуществлена основная часть атаки.

В целях обеспечения безопасности системы и предотвращения подобных попыток в будущем рекомендуется заблокировать следующие IP-адреса на уровне сетевых средств защиты (межсетевые экраны, WAF и другие системы защиты):

124.248.183.139
119.235.222.178
129.212.238.57
143.198.223.154
104.194.9.138
118.99.99.133
157.15.40.74
182.253.173.47
93.185.162.116
128.241.254.151
13.60.54.137
5.62.16.5
38.147.173.172
173.239.196.2
13.158.77.167
160.202.35.158

Кроме того, рекомендуется дополнительно проанализировать исторические записи журналов (логи), относящиеся к данным IP-адресам, и проверить другие подключения и действия, осуществленные с этих адресов.

Наличие следующих объектов в файловой системе сервера является вероятным признаком компрометации:

  • wp-content/uploads/wp-log.php
  • wp-content/uploads/post_files/3ckruhyoraza4thj1pzxwrapw0w.php
  • Любой PHP-файл в каталоге uploads
  • wp-content/mu-plugins/object-cache-helper.php
  • wp-includes/class-wp-locale-helper.php
  • wp-includes/.cache_key
  • Строки _wpc_ak в файле functions.php.

Особую опасность следует рассматривать как наличие PHP-файлов в каталоге uploads.

Проведенный технический анализ показывает, что обеспечение безопасности информационных систем не должно ограничиваться разовым проведением экспертизы или автоматическим обновлением программных компонентов. Хотя регулярное обновление программного обеспечения, плагинов и библиотек имеет важное значение, это не гарантирует полной защищенности системы. Поэтому необходимо проводить регулярный мониторинг безопасности, аудит и дополнительные проверки информационных ресурсов.

Также рекомендуется регулярно анализировать журналы (логи) для раннего обнаружения возможных угроз в системах, осуществлять мониторинг по индикаторам компрометации (IoC) и оперативно принимать меры по выявленным инцидентам безопасности.

Обеспечение безопасности информационных систем — это непрерывный процесс. Поэтому регулярный мониторинг, аудиты безопасности, своевременное устранение уязвимостей и оперативное реагирование на инциденты являются важными факторами повышения уровня кибербезопасности организаций.