Исследователь Иштван Мартон из компании Wordfence обнаружил критическую уязвимость удаленного выполнения кода (RCE) в плагине Sneeit Framework для WordPress. Угрозе был присвоен идентификатор CVE-2025-6389 и максимальный уровень опасности с оценкой 9.8 по шкале CVSS. Проблема затрагивает все версии плагина вплоть до 8.3 включительно, подвергая риску более 1700 активных установок. Разработчики выпустили исправленную версию 8.4 пятого августа 2025 года, однако значительное количество сайтов остается под угрозой компрометации.
Техническая причина уязвимости кроется в функции
Массовая эксплуатация уязвимости началась 24 ноября 2025 года, в тот же день, когда информация о ней была раскрыта публично. С этого момента системами защиты Wordfence было заблокировано более 131 000 попыток взлома. Активность злоумышленников остается крайне высокой: только за последние 24 часа зафиксирована 15 381 атака. Основными целями нападающих являются создание вредоносного администратора, внедрение бэкдоров и перенаправление посетителей на ресурсы с вредоносным ПО или спамом.
В ходе анализа инцидентов были выявлены четкие индикаторы компрометации (IoC). Атакующие создают учетную запись администратора с именем
Инфраструктура злоумышленников опирается на внешний домен
Параллельно с атаками на WordPress, Джейкоб Бейнс из VulnCheck сообщил о критической бреши в программном обеспечении ICTBroadcast. Уязвимость получила идентификатор CVE-2025-2611 и оценку 9.3 по шкале CVSS. Данная проблема безопасности стала основой для развертывания новой кампании ботнета "Frost", нацеленной на проведение DDoS-атак. Поскольку количество уязвимых систем, доступных из интернета, составляет менее 10 000, оператор ботнета классифицируется как относительно мелкий игрок на рынке киберугроз.
Механизм заражения ботнетом Frost включает эксплуатацию CVE-2025-2611 для загрузки промежуточного скрипта оболочки, который затем скачивает бинарный файл "frost", адаптированный под архитектуру жертвы. Полезная нагрузка распространяется с IP-адреса злоумышленника 87.121.84.52. Вредоносная программа использует тактику целевого распространения: перед запуском эксплойта она проверяет наличие специфических индикаторов на целевой системе и остается в спящем режиме, если маркеры отсутствуют, избегая тем самым «ковровых бомбардировок» интернета.
Анализ бинарного файла Frost показал, что он сочетает инструменты для DDoS-атак с модулем распространения, содержащим 14 эксплойтов для 15 различных CVE. Однако исследователи обнаружили аномалию: конкретный эксплойт для ICTBroadcast, использованный для первичной доставки образца, отсутствует в самом бинарном файле. Это указывает на то, что оператор ботнета обладает дополнительными инструментами и возможностями, которые не были включены в проанализированный образец вредоносного ПО.
Изображение носит иллюстративный характер
Техническая причина уязвимости кроется в функции
sneeit_articles_pagination_callback(), которая некорректно обрабатывает пользовательский ввод, передавая его через call_user_func(). Это позволяет неаутентифицированным злоумышленникам выполнять произвольные PHP-функции, такие как wp_insert_user(), непосредственно на сервере. Вектором атаки служат специально сформированные HTTP-запросы, отправляемые на конечную точку /wp-admin/admin-ajax.php, что дает хакерам возможность захватить контроль над ресурсом без наличия учетных данных. Массовая эксплуатация уязвимости началась 24 ноября 2025 года, в тот же день, когда информация о ней была раскрыта публично. С этого момента системами защиты Wordfence было заблокировано более 131 000 попыток взлома. Активность злоумышленников остается крайне высокой: только за последние 24 часа зафиксирована 15 381 атака. Основными целями нападающих являются создание вредоносного администратора, внедрение бэкдоров и перенаправление посетителей на ресурсы с вредоносным ПО или спамом.
В ходе анализа инцидентов были выявлены четкие индикаторы компрометации (IoC). Атакующие создают учетную запись администратора с именем
arudikadis и загружают на сервер ряд вредоносных файлов. Среди них обнаружены tijtewmg.php (предположительно бэкдор), xL.php (веб-шелл), Canonical.php, .a.php, simple.php и скрипт-загрузчик up_sf.php. Иштван Мартон отметил, что загружаемый файл .htaccess специально сконфигурирован для обеспечения доступа к определенным расширениям файлов на серверах Apache, что позволяет обходить стандартные ограничения в директориях загрузки. Инфраструктура злоумышленников опирается на внешний домен
racoonlab[.]top, используемый как источник для файла .htaccess. Атаки производятся с конкретного списка IP-адресов: 125.50.59, 182.8.226.51, 89.187.175.80, 194.104.147.192, 196.251.100.39, 114.10.116.226 и 116.234.108.143. Вредоносное ПО обладает широким функционалом, включая сканирование директорий, чтение и удаление файлов, изменение прав доступа и распаковку ZIP-архивов. Параллельно с атаками на WordPress, Джейкоб Бейнс из VulnCheck сообщил о критической бреши в программном обеспечении ICTBroadcast. Уязвимость получила идентификатор CVE-2025-2611 и оценку 9.3 по шкале CVSS. Данная проблема безопасности стала основой для развертывания новой кампании ботнета "Frost", нацеленной на проведение DDoS-атак. Поскольку количество уязвимых систем, доступных из интернета, составляет менее 10 000, оператор ботнета классифицируется как относительно мелкий игрок на рынке киберугроз.
Механизм заражения ботнетом Frost включает эксплуатацию CVE-2025-2611 для загрузки промежуточного скрипта оболочки, который затем скачивает бинарный файл "frost", адаптированный под архитектуру жертвы. Полезная нагрузка распространяется с IP-адреса злоумышленника 87.121.84.52. Вредоносная программа использует тактику целевого распространения: перед запуском эксплойта она проверяет наличие специфических индикаторов на целевой системе и остается в спящем режиме, если маркеры отсутствуют, избегая тем самым «ковровых бомбардировок» интернета.
Анализ бинарного файла Frost показал, что он сочетает инструменты для DDoS-атак с модулем распространения, содержащим 14 эксплойтов для 15 различных CVE. Однако исследователи обнаружили аномалию: конкретный эксплойт для ICTBroadcast, использованный для первичной доставки образца, отсутствует в самом бинарном файле. Это указывает на то, что оператор ботнета обладает дополнительными инструментами и возможностями, которые не были включены в проанализированный образец вредоносного ПО.
