Segundo a wordfence, os atores da botnet usam um grupo de 4 servidores C&C (Command and Control) para enviar pedidos a mais de 14 mil servidores proxy concedidos por um fornecedor Russo, o best-proxies[.]ru. Estes proxies são usados essencialmente para anonimizar o tráfego da C2. Os pedidos são feitos a mais de 20 mil sites, que correm um script para atacar sites Wordpress.

A botnet é usada para desencadear ataques de força bruta em outros sites Wordpress, tendo já realizado mais de 5 milhões de pedidos.

Método de ataque

Tenta implementar a autenticação XML-RPC de forma a conseguir aceder a contas privilegiadas. Esta interface permite que os utilizadores postem conteúdo de forma remota num site usando o Wordpress ou outras API's, estando localizada no diretório root de uma instalação wordpress no ficheiro xmlrpc.php. É conveniente para desencadear os ataques, porque não limita o número de pedidos que é possível submeter, dando aso a mais ataques de força bruta.

Assim que um site wordpress é comprometido, começa a desencadear os ataques contra esta interface noutros websites.

O script de força bruta usado aceita o input POST dos servidores C&C, sendo que o pedido inclui domínios para o alvo e wordlists para usar quando desencadear os ataques. É possível também fazer outras wordlists através de um URL para o script.

Mais informações aqui: https://www.digitaltrends.com/computing/botnet-of-infected-wordpress-sites-are-attacking-legit-wordpress-sites/