- Автор темы
- #1
Злоумышленники эксплуатируют критическую уязвимость в Ghost CMS для заражения сайтов вредоносными JavaScript-загрузчиками и последующих атак типа ClickFix. Исследователи из QiAnXin XLab предупреждают, что компрометация уже затронула более 700 сайтов, включая университетские порталы, медиа, SaaS-компании, финтех-сервисы и ИБ-ресурсы.
В частности, среди пострадавших перечислены сайты Гарвардского университета (Harvard University), Оксфордского университета (University of Oxford), Обернского университета (Auburn University) и поисковика DuckDuckGo.
Проблема связана с уязвимостью CVE-2026-26980 — SQL-инъекцией в Ghost CMS, которая получила 9,4 балла по шкале CVSS. Этот баг затрагивает версии движка с 3.24.0 по 6.19.0 и позволяет неаутентифицированному атакующему читать данные из БД, включая API-ключ администратора. С помощью этого ключа хакеры могут получить полный доступ к административному API CMS и массово модифицировать опубликованные материалы, внедряя в них вредоносный код.
Патч для CVE-2026-26980 вышел еще 19 февраля 2026 года с релизом Ghost 6.19.1. Более того, исследователи SentinelOne предупреждали об эксплуатации бага в реальных атаках уже 27 февраля. Однако многие владельцы сайтов так и не установили обновления.
По данным специалистов XLab, вредоносная активность началась как минимум 7 мая 2026 года, и за этой кампанией стоят не мене двух разных хак-групп: исследователи наблюдали случаи, когда одни злоумышленники повторно заражали уже очищенные сайты или даже удаляли чужие скрипты, заменяя их своими.
Атаки выглядят следующим образом: сначала хакеры эксплуатируют CVE-2026-26980 и получают API-ключ администратора. Затем злоумышленники внедряют в статьи загрузчик на JavaScript через административный API. Этот скрипт подгружает малварь второй стадии атаки с домена clo4shara[.]xyz.
Далее в дело вступает клоакинг. Скрипт собирает данные о браузере, проверяет посетителей и решает, нужно ли показывать им вредоносную нагрузку. Для фильтрации трафика используется коммерческий сервис Adspect. Благодаря этому поисковые роботы и ИБ-сканеры видят безобидную страницу, а реальным жертвам показывают фейковую CAPTCHA.
Поверх зараженной статьи через iframe отображается поддельное окно Cloudflare с классическим ClickFix-сценарием. Пользователю предлагают «подтвердить, что он человек», скопировав и выполнив команду в Windows Run или cmd.exe.
Такая команда загружает ZIP-архив, содержащий batch-скрипт и дополнительную полезную нагрузку. Далее запускается PowerShell-команда, которая скачивает DLL-файл и выполняет его через rundll32.exe. В некоторых вариантах атаки вместо DLL используется JavaScript-пейлоад.
Также исследователи пишут, что в некоторых случаях использовалась Electron-малварь UtilifySetup.exe — модифицированная версия опенсорсного клиента Grape. Вредонос закреплялся в системе и каждые 30 секунд связывался с управляющим сервером web-telegram[.]ug для получения новых команд.
Администраторам Ghost CMS рекомендуют как можно скорее обновиться до версии 6.19.1 или новее, перевыпустить все ключи API и проверить свои сайты на наличие внедренных скриптов. Кроме того, специалисты советуют хранить логи административных API-вызовов как минимум 30 дней, так как это может помочь при расследовании инцидента.
В частности, среди пострадавших перечислены сайты Гарвардского университета (Harvard University), Оксфордского университета (University of Oxford), Обернского университета (Auburn University) и поисковика DuckDuckGo.
Проблема связана с уязвимостью CVE-2026-26980 — SQL-инъекцией в Ghost CMS, которая получила 9,4 балла по шкале CVSS. Этот баг затрагивает версии движка с 3.24.0 по 6.19.0 и позволяет неаутентифицированному атакующему читать данные из БД, включая API-ключ администратора. С помощью этого ключа хакеры могут получить полный доступ к административному API CMS и массово модифицировать опубликованные материалы, внедряя в них вредоносный код.
Патч для CVE-2026-26980 вышел еще 19 февраля 2026 года с релизом Ghost 6.19.1. Более того, исследователи SentinelOne предупреждали об эксплуатации бага в реальных атаках уже 27 февраля. Однако многие владельцы сайтов так и не установили обновления.
По данным специалистов XLab, вредоносная активность началась как минимум 7 мая 2026 года, и за этой кампанией стоят не мене двух разных хак-групп: исследователи наблюдали случаи, когда одни злоумышленники повторно заражали уже очищенные сайты или даже удаляли чужие скрипты, заменяя их своими.
Атаки выглядят следующим образом: сначала хакеры эксплуатируют CVE-2026-26980 и получают API-ключ администратора. Затем злоумышленники внедряют в статьи загрузчик на JavaScript через административный API. Этот скрипт подгружает малварь второй стадии атаки с домена clo4shara[.]xyz.
Далее в дело вступает клоакинг. Скрипт собирает данные о браузере, проверяет посетителей и решает, нужно ли показывать им вредоносную нагрузку. Для фильтрации трафика используется коммерческий сервис Adspect. Благодаря этому поисковые роботы и ИБ-сканеры видят безобидную страницу, а реальным жертвам показывают фейковую CAPTCHA.
Поверх зараженной статьи через iframe отображается поддельное окно Cloudflare с классическим ClickFix-сценарием. Пользователю предлагают «подтвердить, что он человек», скопировав и выполнив команду в Windows Run или cmd.exe.
Такая команда загружает ZIP-архив, содержащий batch-скрипт и дополнительную полезную нагрузку. Далее запускается PowerShell-команда, которая скачивает DLL-файл и выполняет его через rundll32.exe. В некоторых вариантах атаки вместо DLL используется JavaScript-пейлоад.
Также исследователи пишут, что в некоторых случаях использовалась Electron-малварь UtilifySetup.exe — модифицированная версия опенсорсного клиента Grape. Вредонос закреплялся в системе и каждые 30 секунд связывался с управляющим сервером web-telegram[.]ug для получения новых команд.
Администраторам Ghost CMS рекомендуют как можно скорее обновиться до версии 6.19.1 или новее, перевыпустить все ключи API и проверить свои сайты на наличие внедренных скриптов. Кроме того, специалисты советуют хранить логи административных API-вызовов как минимум 30 дней, так как это может помочь при расследовании инцидента.