Na een onderzoek is de werkwijze van hackersgroep WP-SHELLSTORM ontdekt. Ze vallen geregeld WordPress-websites aan.
Een beveiligingsonderzoek heeft een inkijk gegeven in de werkwijze van een cybercriminele groep die op grote schaal websites compromitteert. Omdat een interne server van de groep gedurende 22 dagen onbeveiligd online stond, konden onderzoekers exploittools, webshells, doelwitten en gestolen cloudgegevens analyseren.
Onderzoekers van SOCRadar ontdekten dat de groep, die de naam WP-SHELLSTORM kreeg, een onbeveiligde Python-server had achtergelaten met ongeveer 800 MB aan bestanden. Die bevatten onder meer exploitsoftware, logbestanden, commandogeschiedenis en duizenden webshells die werden gebruikt om kwetsbare websites over te nemen. Volgens de onderzoekers gaat het om een financieel gemotiveerde cybercriminele operatie en niet om een door een staat gesteunde aanval.
Duizenden websites geïnfecteerd via bekende kwetsbaarheden
Uit de gelekte gegevens blijkt dat WP-SHELLSTORM geen zero-days gebruikte, maar geautomatiseerd misbruik maakte van bekende kwetsbaarheden in verouderde WordPress-plugins en Joomla-componenten. De aanval richtte zich op 27 bekende beveiligingslekken, waarvan enkele verantwoordelijk waren voor het grootste deel van de succesvolle compromitteringen.
De meest gebruikte kwetsbaarheid bevond zich in de WordPress-cacheplugin Breeze (CVE-2026-3844). Volgens de logbestanden probeerden de aanvallers deze kwetsbaarheid op meer dan 45.000 websites uit te buiten. Uiteindelijk werden meer dan 17.000 webshells geïnstalleerd, waarmee dit een van de grootste bekende WordPress-campagnes van het afgelopen jaar is.
Hoewel de infrastructuur verwijzingen bevatte naar meer dan 1,4 miljoen websites, ging het grotendeels om gescande doelwitten. Onderzoekers bevestigden uiteindelijk ongeveer 25.000 daadwerkelijk gecompromitteerde websites, waarvan er tijdens het onderzoek nog ruim 5.700 actief een webshell bevatten.
Permanente toegang en gestolen cloudgegevens
Na een succesvolle inbraak installeerden de aanvallers een verborgen webshell waarmee ze op afstand opdrachten konden uitvoeren, bestanden konden bekijken, wachtwoorden konden stelen en zich verder binnen de infrastructuur van slachtoffers konden verplaatsen. Voor langdurige toegang werd bovendien een extra backdoor geïnstalleerd die zich op Linux-systemen voordeed als een legitiem kernelproces.
De open server onthulde ook een eerdere aanvalscampagne. Daaruit bleek dat de groep kwetsbare Nacos-configuratieservers aanviel om cloudreferenties buit te maken. Onder de gestolen gegevens bevonden zich toegangsgegevens voor onder meer AWS, Oracle Cloud, Alibaba Cloud, Tencent Cloud en DigitalOcean, naast databasewachtwoorden en cryptografische sleutels.
Volgens SOCRadar wijst dit erop dat de groep aanvankelijk bedrijfsreferenties verzamelde en zich later toelegde op het op grote schaal compromitteren van websites.
