През месец септември 2023 г. повече от 17 000 уебсайта на WordPress са били компрометирани със зловреден софтуер, известен като Balada Injector, което е почти два пъти повече от откритията през август.
Твърди се, че 9000 от тези уебсайтове са проникнати, като е използван наскоро разкрит недостатък в сигурността на плъгина tagDiv Composer (CVE-2023-3169, CVSS оценка: 6.1), който може да бъде използван от неавтентифицирани потребители за извършване на съхранени крос-сайт скриптови атаки (XSS).
„Това не е първият път, в който бандата Balada Injector се насочва към уязвимости в премиум темите на tagDiv“, заяви Денис Синегубко, изследовател по сигурността в Sucuri.
„Едно от най-ранните масирани инжектирания на зловреден софтуер, което бихме могли да припишем на тази кампания, се състоя през лятото на 2017 г., когато активно се злоупотребяваше с разкрити грешки в сигурността на темите Newspaper и Newsmag за WordPress.“
Balada Injector е широкомащабна операция, открита за първи път от Doctor Web през декември 2022 г., при която хакерите използват различни грешки в плъгините на WordPress, за да разположат Linux backdoor на податливи системи.
Основната цел на имплантатора е да насочва потребителите на компрометираните сайтове към фалшиви страници за техническа поддръжка, измамни лотарийни печалби и измами с push известия. От 2017 г. насам кампанията е засегнала повече от един милион уебсайта.
Атаките, включващи Balada Injector, се разиграват под формата на повтарящи се вълни на активност, които се появяват на всеки няколко седмици, като след началото на вълната през уикенда във вторник се открива рязко увеличение на инфекциите.
Последният набор от пробиви включва използването на CVE-2023-3169 за инжектиране на злонамерен скрипт и в крайна сметка установяване на постоянен достъп над сайтовете чрез качване на задни врати, добавяне на злонамерени плъгини и създаване на измамни администратори на блогове.
В миналото тези скриптове са били насочени към влезлите в WordPress сайтове администратори, тъй като позволяват на противника да извършва злонамерени действия с повишени привилегии чрез интерфейса на администратора, включително да създава нови потребители на администратора, които може да използва за последващи атаки.
Бързо развиващото се естество на скриптовете се доказва от способността им да залагат задна врата в страниците за грешки 404 на уебсайтовете, които са в състояние да изпълняват произволен PHP код, или пък да използват код, вграден в страниците, за да инсталират злонамерен плъгин wp-zexit по автоматизиран начин.
Sucuri описва това като „един от най-сложните видове атаки“, извършвани от скрипта, като се има предвид, че той имитира целия процес на инсталиране на приставка от ZIP архивен файл и нейното активиране.
Основната функционалност на плъгина е същата като тази на задната врата, а именно да изпълнява PHP код, изпратен от разстояние от участниците в заплахата.
По-новите вълни от атаки, наблюдавани в края на септември 2023 г., включват използването на произволни инжекции на код за изтегляне и стартиране на второстепенен зловреден софтуер от отдалечен сървър за инсталиране на приставката wp-zexit.
Използват се и замаскирани скриптове, които предават бисквитките на посетителя на контролиран от извършителя URL адрес и извличат в замяна неуточнен JavaScript код.
„Разполагането им във файловете на компрометираните сайтове ясно показва, че този път вместо да използват уязвимостта tagDiv Composer, нападателите са използвали своите задни врати и злонамерени потребители на администратори, които са били подхвърлени след успешни атаки срещу администратори на уебсайтове“, обяснява Синегубко.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.