Πολλαπλές καμπάνιες Balada Injector έχουν παραβιάσει και μολύνει πάνω από 17.000 ιστότοπους WordPress χρησιμοποιώντας γνωστά ελαττώματα σε προσθήκες θεμάτων premium.
Το Balada Injector είναι μια τεράστια λειτουργία που ανακαλύφθηκε τον Δεκέμβριο του 2022 από τον Dr. Web, η οποία αξιοποιεί διάφορα
exploits
για γνωστά ελαττώματα προσθήκης WordPress και θεμάτων για να εισάγει μια κερκόπορτα Linux.
Το backdoor ανακατευθύνει τους επισκέπτες των παραβιασμένων ιστοτόπων σε ψεύτικες σελίδες τεχνικής υποστήριξης, δόλιες νίκες λαχειοφόρων αγορών και απάτες ειδοποιήσεων push, επομένως είναι είτε μέρος εκστρατειών απάτης είτε υπηρεσία που πωλείται σε απατεώνες.
Τον Απρίλιο του 2023, η Sucuri ανέφερε ότι η Balada Injector ήταν ενεργή από το 2017 και υπολόγισε ότι είχε θέσει σε κίνδυνο σχεδόν ένα εκατομμύριο ιστότοπους WordPress.
Τρέχουσα καμπάνια
Οι παράγοντες απειλών αξιοποιούν το ελάττωμα CVE-2023-3169 μεταξύ δέσμης ενεργειών (XSS) στο tagDiv Composer, ένα συνοδευτικό εργαλείο για τα θέματα Εφημερίδας και Newsmag του tagDiv για ιστότοπους WordPress.
Σύμφωνα με δημόσια στατιστικά του EnvatoMarket, η εφημερίδα έχει
137.000 πωλήσεις
και Newsmag
πάνω από 18.500,
Έτσι, η επιφάνεια επίθεσης είναι 155.500 ιστότοποι, χωρίς να υπολογίζονται τα πειρατικά αντίγραφα.
Και τα δύο είναι θέματα premium (με πληρωμή), που χρησιμοποιούνται συχνά από ακμάζουσες διαδικτυακές πλατφόρμες που διατηρούν υγιείς λειτουργίες και συγκεντρώνουν σημαντική επισκεψιμότητα.
Η τελευταία καμπάνια που στοχεύει το CVE-2023-3169 ξεκίνησε στα μέσα Σεπτεμβρίου, λίγο μετά την
αποκάλυψη
των λεπτομερειών ευπάθειας και κυκλοφόρησε ένα PoC (απόδειξη της ιδέας εκμετάλλευσης).
Αυτές οι επιθέσεις ευθυγραμμίζονται με μια καμπάνια που κοινοποιήθηκε στο BleepingComputer στα τέλη Σεπτεμβρίου, όταν οι διαχειριστές αναφέρθηκαν
Reddit
ότι πολλοί ιστότοποι WordPress είχαν μολυνθεί με μια κακόβουλη προσθήκη που ονομάζεται wp-zexit.php.
Κακόβουλο πρόσθετο WordPress wp-zexit
Πηγή: BleepingComputer
Αυτό το πρόσθετο επέτρεψε στους παράγοντες απειλών να στείλουν εξ αποστάσεως κώδικα PHP που θα αποθηκευτεί στον φάκελο /tmp/i και θα εκτελεστεί.
Οι επιθέσεις σημαδεύτηκαν επίσης από κώδικα που εισήχθη σε πρότυπα που θα ανακατευθύνουν τους χρήστες σε ιστότοπους απάτης υπό τον έλεγχο του εισβολέα.
Εκείνη την εποχή, ένας εκπρόσωπος του tagDiv επιβεβαίωσε ότι γνώριζε το ελάττωμα και είπε στους ανθρώπους να εγκαταστήσουν το πιο πρόσφατο θέμα για να αποτρέψουν τις επιθέσεις.
“Γνωρίζουμε αυτές τις περιπτώσεις. Το κακόβουλο
λογισμικό
μπορεί να επηρεάσει ιστότοπους που χρησιμοποιούν παλαιότερες εκδόσεις θεμάτων.”
εξήγησε το tagDiv
.
“Εκτός από την
ενημέρωση
του θέματος, η σύσταση είναι να εγκαταστήσετε αμέσως ένα πρόσθετο ασφαλείας όπως το wordfence και να σαρώσετε τον ιστότοπο. Επίσης, αλλάξτε όλους τους κωδικούς πρόσβασης του ιστότοπου.”
του Sucuri
η έκθεση ρίχνει νέο φως
σχετικά με την καμπάνια, προειδοποιώντας ότι αρκετές χιλιάδες τοποθεσίες έχουν ήδη παραβιαστεί.
Ένα χαρακτηριστικό σημάδι της εκμετάλλευσης του CVE-2023-3169 είναι ένα κακόβουλο σενάριο που εισάγεται σε συγκεκριμένες ετικέτες, ενώ η ίδια η ασαφής ένεση βρίσκεται στον πίνακα ‘wp_options’ της βάσης δεδομένων του ιστότοπου.
Ο Sucuri έχει παρατηρήσει έξι διακριτά κύματα επίθεσης, μερικά από τα οποία έχουν επίσης παραλλαγές, και τα οποία συνοψίζονται παρακάτω:
- Συμβιβασμός ιστότοπων WordPress με την έγχυση κακόβουλων σεναρίων από το stay.decentralappps[.]com. Το ελάττωμα επέτρεψε τη διάδοση κακόβουλου κώδικα σε δημόσιες σελίδες. Πάνω από 5.000 ιστότοποι επηρεάστηκαν από δύο παραλλαγές (4.000 και 1.000).
- Χρήση κακόβουλου σεναρίου για τη δημιουργία αδίστακτων λογαριασμών διαχειριστή WordPress. Αρχικά, χρησιμοποιήθηκε ένα όνομα χρήστη «greeceman», αλλά οι εισβολείς άλλαξαν σε ονόματα χρήστη που δημιουργήθηκαν αυτόματα με βάση το όνομα κεντρικού υπολογιστή του ιστότοπου.
- Κατάχρηση του προγράμματος επεξεργασίας θεμάτων του WordPress για να ενσωματώσετε κερκόπορτες στο αρχείο 404.php του θέματος της εφημερίδας για μυστική επιμονή.
-
Οι επιτιθέμενοι άλλαξαν στην εγκατάσταση της προσθήκης wp-zexit που αναφέρθηκε προηγουμένως που μιμούνταν τη συμπεριφορά διαχειριστή του WordPress και έκρυβε την κερκόπορτα στη δι
επα
φή
Ajax
του ιστότοπου. - Η εισαγωγή τριών νέων τομέων και η αυξημένη τυχαιοποίηση στα σενάρια, τις διευθύνσεις URL και τους κώδικες που εισήχθησαν έκαναν την παρακολούθηση και τον εντοπισμό πιο προκλητική. Μία συγκεκριμένη ένεση από αυτό το κύμα παρατηρήθηκε σε 484 θέσεις.
- Οι επιθέσεις χρησιμοποιούν τώρα την προώθηση[.]υποτομείς com αντί για stay.decentralappps[.]com και περιορίστε την ανάπτυξη σε τρεις συγκεκριμένες εγχύσεις που εντοπίστηκαν σε 92, 76 και 67 ιστότοπους. Επιπλέον, ο σαρωτής της Sucuri ανιχνεύει τις ενέσεις προώθησης σε συνολικά 560 τοποθεσίες.
Γενικά, η Sucuri λέει ότι εντόπισε το Balada Injector σε πάνω από 17.000 ιστότοπους WordPress τον Σεπτέμβριο του 2023, με περισσότερους από τους μισούς (9.000) να έχουν επιτευχθεί με την εκμετάλλευση του CVE-2023-3169.
Τα κύματα επίθεσης βελτιστοποιήθηκαν γρήγορα, υποδεικνύοντας ότι οι παράγοντες της απειλής μπορούν να προσαρμόσουν γρήγορα τις τεχνικές τους για να επιτύχουν το μέγιστο αντίκτυπο.
Για άμυνα ενάντια στο Balada Injector, συνιστάται η αναβάθμιση του πρόσθετου tagDiv Composer στην έκδοση 4.2 ή μεταγενέστερη, η οποία αντιμετωπίζει την αναφερόμενη ευπάθεια.
Επίσης, κρατήστε ενημερωμένα όλα τα θέματα και τις προσθήκες σας, αφαιρέστε τους αδρανείς λογαριασμούς χρηστών και σαρώστε τα αρχεία σας για κρυφές κερκόπορτες.
του Sucuri
σαρωτής ελεύθερης πρόσβασης
εντοπίζει τις περισσότερες παραλλαγές Balada Injector, επομένως ίσως θελήσετε να το χρησιμοποιήσετε για να σαρώσετε την εγκατάσταση του WordPress για συμβιβασμό.