Обзор
Обнаружена масштабная кампания атак, использующая критическую SQL-инъекцию CVE-2026-26980 в Ghost CMS для внедрения вредоносного JavaScript-кода и запуска ClickFix-цепочек заражения.
Исследователи XLab из китайской компании Qianxin сообщили, что пострадало более 700 доменов, включая:
- университетские порталы;
- AI/SaaS-компании;
- медиа-ресурсы;
- финтех-компании;
- сайты по кибербезопасности;
- персональные блоги.
Среди скомпрометированных ресурсов упоминаются сайты:
- Harvard University
- University of Oxford
- Auburn University
- DuckDuckGo
Compromised sites
Источник: XLab
Что представляет собой CVE-2026-26980
Уязвимость затрагивает версии Ghost CMS:
- 3.24.0 — 6.19.0
- читать произвольные данные из базы сайта;
- извлекать admin API keys;
- получать административный доступ к управлению контентом.
С помощью украденных API-ключей злоумышленники могут:
- изменять статьи;
- внедрять вредоносный код;
- управлять темами оформления.
Как развивается атака
По данным SentinelOne, эксплуатация CVE-2026-26980 фиксировалась как минимум с конца февраля.Исследователи обнаружили несколько независимых групп атакующих, которые:
- повторно заражали уже очищенные сайты;
- удаляли скрипты конкурентов;
- внедряли собственный вредоносный код.
Timeline of the attacks
Источник: XLab
Цепочка заражения
Атака развивается в несколько этапов:1. Эксплуатация CVE-2026-26980
Злоумышленник получает admin API key.2. Внедрение JavaScript
В статьи сайта добавляется вредоносный JS-код.3. Загрузка второго этапа
Легковесный loader обращается к инфраструктуре атакующего и получает cloaking-скрипт.4. Fingerprinting посетителей
Система анализирует пользователя и определяет, является ли он "подходящей" целью.5. Фальшивый Cloudflare-чек
Жертве показывается iframe с поддельной проверкой Cloudflare и ClickFix-приманкой.The ClickFix page
Источник: XLab
Как работает ClickFix
Пользователю предлагают "подтвердить, что он человек".
Для этого его просят:
- открыть командную строку Windows;
- вставить предложенную команду;
- выполнить ее вручную.
После этого на устройство загружается вредоносная нагрузка.
XLab зафиксировали использование:
- DLL-loader’ов;
- JavaScript-дропперов;
- malware на базе Electron — UtilifySetup.exe.
Attack phases
Источник: XLab
Почему это опасно
Кампания особенно опасна из-за комбинации факторов:- атака идет через доверенные сайты;
- используется легитимный CMS;
- применяется социальная инженерия;
- жертва сама запускает вредоносную команду.
Кроме того, ClickFix-атаки продолжают активно развиваться и становятся все более распространенным методом первоначального доступа.
Что делать администраторам Ghost CMS
Срочно обновиться
Минимальная безопасная версия:- Ghost CMS 6.19.1
Обязательно сменить ключи
Все ранее используемые admin API keys необходимо считать скомпрометированными.Проверить сайт на IoC
XLab опубликовала индикаторы компрометации:- внедренные скрипты;
- подозрительные iframe;
- сторонние JS-загрузчики.
Хранить логи
Рекомендуется сохранять:- минимум 30 дней логов admin API-вызовов;
- журналы изменений контента;
- сетевые события.
Это позволит провести ретроспективный анализ в случае компрометации.
Источник
