Eylül 2023’te 17.000’den fazla WordPress web sitesinin güvenliği, şu bilinen kötü amaçlı yazılımla ele geçirildi: Balad EnjektörüAğustos ayındaki tespit sayısının neredeyse iki katı.
Bunlardan 9.000 web sitesine, tagDiv Composer eklentisinde yakın zamanda açıklanan bir güvenlik kusuru (CVE-2023-3169, CVSS puanı: 6,1) kullanılarak sızıldığı ve kimlik doğrulaması yapılmamış kullanıcılar tarafından depolanan siteler arası komut dosyası çalıştırma gerçekleştirmek için kullanılabilecek olduğu söyleniyor. (XSS) saldırıları.
Sucuri güvenlik araştırmacısı Denis Sinegubko, “Bu, Balada Injector çetesinin tagDiv’in premium temalarındaki güvenlik açıklarını hedef alması ilk kez değil” dedi.
“Bu kampanyaya atfedebileceğimiz en eski büyük çaplı kötü amaçlı yazılım enjeksiyonlarından biri, Gazete ve Newsmag WordPress temalarında açıklanan güvenlik hatalarının aktif olarak kötüye kullanıldığı 2017 yazında gerçekleşti.”
Balada Injector, ilk olarak Aralık 2022’de Doctor Web tarafından keşfedilen büyük ölçekli bir operasyondur. Burada tehdit aktörleri, duyarlı sistemlere bir Linux arka kapısı dağıtmak için çeşitli WordPress eklentisi kusurlarından yararlanır.
İmplantın temel amacı, ele geçirilen sitelerin kullanıcılarını sahte teknik destek sayfalarına, sahte piyango kazançlarına ve anlık bildirim dolandırıcılıklarına yönlendirmektir. 2017’den bu yana bir milyondan fazla web sitesi kampanyadan etkilendi.
Balada Enjektörünün dahil olduğu saldırılar, birkaç haftada bir tekrarlanan aktivite dalgaları şeklinde gerçekleşiyor ve hafta sonu bir dalganın başlamasının ardından Salı günleri enfeksiyonlarda bir artış tespit ediliyor.
En son ihlal grubu, CVE-2023-3169’un kötü amaçlı bir komut dosyası enjekte etmek ve sonuçta arka kapılar yükleyerek, kötü amaçlı eklentiler ekleyerek ve hileli blog yöneticileri oluşturarak siteler üzerinde kalıcı erişim sağlamak için istismar edilmesini gerektiriyor.
Geçmişte, bu komut dosyaları, saldırganın, takip eden saldırılar için kullanabilecekleri yeni yönetici kullanıcıları oluşturmak da dahil olmak üzere, yönetici arayüzü aracılığıyla yükseltilmiş ayrıcalıklarla kötü amaçlı eylemler gerçekleştirmesine izin verdiğinden, oturum açmış WordPress site yöneticilerini hedef alıyordu.
Komut dosyalarının hızla gelişen doğası, web sitelerinin 404 hata sayfalarına rastgele PHP kodu çalıştırabilen bir arka kapı yerleştirme veya alternatif olarak kötü amaçlı bir wp-zexit eklentisi yüklemek için sayfalara gömülü kodu kullanma yetenekleriyle kanıtlanmaktadır. otomatik bir şekilde.
Sucuri, ZIP arşiv dosyasından bir eklenti yükleme ve onu etkinleştirme sürecinin tamamını taklit ettiği göz önüne alındığında, bunu komut dosyası tarafından gerçekleştirilen “en karmaşık saldırı türlerinden biri” olarak tanımladı.
Eklentinin temel işlevi, tehdit aktörleri tarafından uzaktan gönderilen PHP kodunu çalıştıran arka kapıyla aynıdır.
Eylül 2023’ün sonlarında gözlemlenen daha yeni saldırı dalgaları, wp-zexit eklentisini yüklemek üzere uzak bir sunucudan ikinci aşama kötü amaçlı yazılım indirip başlatmak için rastgele kod enjeksiyonlarının kullanılmasını gerektiriyor.
Ayrıca, ziyaretçinin çerezlerini aktör tarafından kontrol edilen bir URL’ye ileten ve karşılığında belirtilmemiş bir JavaScript kodu getiren karartılmış komut dosyaları da kullanılır.
Sinegubko, “Bunların ele geçirilen sitelerin dosyalarına yerleştirilmesi, saldırganların bu sefer tagDiv Composer güvenlik açığını kullanmak yerine arka kapılarından ve web sitesi yöneticilerine yönelik başarılı saldırıların ardından yerleştirilen kötü niyetli yönetici kullanıcılarından yararlandığını açıkça gösteriyor.” dedi.