Didelės apimties kampanija naudoja kritinį SQL injekcijos pažeidžiamumą (CVE-2026-26980) Ghost CMS, kad įterptų kenkėjišką JavaScript kodą, kuris suaktyvina ClickFix atakų srautus.
Kampaniją atrado XLab grėsmių žvalgybos tyrėjai iš Kinijos kibernetinio saugumo įmonės Qianxin, kurie patvirtino poveikį daugiau nei 700 domenų, įskaitant universitetų portalus, AI/SaaS įmones, žiniasklaidos priemones, finansinių technologijų įmones, saugos svetaines ir asmeninius tinklaraščius.
Tyrėjų teigimu, grėsmės veikėjai įdėjo kenkėjišką kodą Harvardo universiteto, Oksfordo universiteto, Auburno universiteto ir DuckDuckGo svetainėse.
Šaltinis: XLab
CVE-2026-26980 veikia Ghost 3.24.0–6.19.0 ir leidžia neautentifikuotiems užpuolikams nuskaityti savavališkus duomenis iš svetainės duomenų bazės, įskaitant administratoriaus API raktus.
Šis raktas suteikia valdymo prieigą prie vartotojų, straipsnių ir temų ir gali būti naudojamas straipsnių puslapiams keisti.
Nors problemos sprendimas buvo išleistas vasario 19 d. Ghost CMS 6.19.1 versijoje, daugeliui svetainių nepavyko įdiegti saugos naujinimo.
„SentinelOne“ vasario 27 d. paskelbė išsamią informaciją apie CVE-2026-26980, naudojamą atakoms, ir kaip galima aptikti incidentus. Tyrėjai pastebėjo bent dvi atskiras veiklos grupes, nukreiptas į pažeidžiamas vaiduoklio svetaines, kartais iš naujo užkrėsdamos tuos pačius domenus skirtingais scenarijais po valymo arba vieną išvalydami scenarijų iš kito, kad įpuršktų savo.
Šaltinis: XLab
Atakos grandinė
Atakos, kurias stebėjo XLab, prasideda išnaudojant CVE-2026-26980, kad pavogtų administratoriaus API raktus, o tada pasinaudojant padidintomis teisėmis į straipsnius įterpti kenkėjišką JavaScript.
„JavaScript“ kodas yra lengvas įkroviklis, kuris paima antrosios pakopos kodą iš užpuoliko infrastruktūros, o tai iš esmės yra maskavimo scenarijus, kuris paima lankytojų pirštų atspaudus, kad nustatytų, ar jie yra taikiniai.
Patvirtinimą išlaikiusiems lankytojams pateikiama netikra „Cloudflare“ raginimas, įkeltas per iframe straipsnio puslapio viršuje, kuriame yra „ClickFix“ masalas.
Šaltinis: XLab
Puslapyje aukoms nurodoma patikrinti, ar jos yra žmonės, įklijuojant pateiktą komandą į „Windows“ komandų eilutę, kuri pašalina jų sistemų naudingą apkrovą.
XLab pastebėjo, kad šiose atakose naudojami keli naudingieji kroviniai, įskaitant DLL įkroviklius, „JavaScript“ lašintuvus ir elektronų pagrindu sukurtą kenkėjiškų programų pavyzdį, pavadintą UtilifySetup.exe.
.jpg)
Šaltinis: XLab
Rizikos mažinimas
Svarbiausias Ghost CMS svetainių administratorių veiksmas yra atnaujinti į 6.19.1 ar naujesnę versiją ir pasukti visus anksčiau naudotus raktus, nes jie galėjo būti atskleisti.
„XLab“ pateikė kompromiso (IoC) rodiklių sąrašą, įskaitant įterptus scenarijus, todėl norint juos rasti ir pašalinti, reikia nuodugniai peržiūrėti svetaines.
Tyrėjai rekomenduoja svetainių savininkams 30 dienų saugoti administratoriaus API skambučių žurnalus, kad būtų galima atlikti patikimą retrospektyvų tyrimą.
Automatiniai tikrinimo įrankiai suteikia tikrą vertę, tačiau jie buvo sukurti siekiant atsakyti į vieną klausimą: ar užpuolikas gali judėti tinkle? Jie nebuvo sukurti siekiant patikrinti, ar jūsų valdikliai blokuoja grėsmes, ar suveikia aptikimo taisyklės, ar galioja debesies konfigūracijos.
Šis vadovas apima 6 paviršius, kuriuos iš tikrųjų reikia patvirtinti.
Atsisiųskite dabar
