一个名为Mr_Rot13的威胁组织正利用cPanel最新曝出的严重漏洞,在受害服务器上部署名为Filemanager的后门程序。奇安信XLab实验室的最新监测显示,这一漏洞披露后不久便遭到多个攻击组织疯狂利用,攻击手段涵盖加密货币挖矿、勒索软件、僵尸网络传播和后门植入等多种恶意行为。
被利用的漏洞编号为CVE-2026-41940,影响cPanel及WebHost Manager(WHM)系统。该漏洞可导致认证绕过,使远程攻击者获得控制面板的高权限控制权。XLab研究人员指出,全球目前有超过2000个攻击源IP正参与针对该漏洞的自动化攻击和网络犯罪活动,这些IP分布于德国、美国、巴西、荷兰等多个地区。
攻击链条始于一个shell脚本。该脚本使用wget或curl从远程服务器"cp.dene.de.com"下载一个基于Go语言编写的感染程序。这个感染程序会向被攻陷的cPanel系统植入SSH公钥以实现持久化访问,同时投放一个PHP Web Shell,支持文件上传下载和远程命令执行。
Web Shell随后被用于注入JavaScript代码,向用户展示伪造的登录页面以窃取凭证。这些凭证经ROT13加密后传输至攻击者控制的"wrned.com"服务器。完成凭证窃取后,攻击链最终部署一个跨平台后门,可感染Windows、macOS和Linux系统。
该感染程序还具备信息收集功能,会从受害主机提取bash历史记录、SSH数据、设备信息、数据库密码以及cPanel虚拟别名(valiases)等敏感数据,并发送至一个由用户"0xWR"创建的3人Telegram群组。在XLab分析的感染序列中,Filemanager后门通过"wpsock.com"域名下载的shell脚本投递,支持文件管理、远程命令执行和shell功能。
有迹象表明,Mr_Rot13背后的运营者已潜伏多年。嵌入JavaScript代码中的命令控制(C2)域名早在2020年10月就已注册,且该域名曾被用于一个PHP后门("helper.php"),该样本于2022年4月上传至VirusTotal平台。XLab表示,从2020年至今的六年间,Mr_Rot13相关样本和基础设施在安全产品中的检出率始终极低。
热门跟贴