17,000'den Fazla WordPress Eylül 2023'te Balada Injector Tarafından Ele Geçirildi.

Eylül 2023'te 17.000'den fazla WordPress web sitesi, Ağustos ayındaki tespit sayısının neredeyse iki katı olan Balada Injector olarak bilinen bir kötü amaçlı yazılımla ele geçirildi.

Bunlardan 9.000'inin, kimliği doğrulanmamış kullanıcılar tarafından depolanmış siteler arası komut dosyası çalıştırma (XSS) saldırıları gerçekleştirmek için kullanılabilecek tagDiv Composer eklentisinde (CVE-2023-3169, CVSS puanı: 6.1) yakın zamanda açıklanan bir güvenlik açığı kullanılarak web sitelerine sızıldığı söyleniyor.

Sucuri güvenlik araştırmacısı Denis Sinegubko, "Bu, Balada Injector çetesinin tagDiv'in premium temalarındaki güvenlik açıklarını ilk kez hedef alması değil" dedi.

"Bu kampanyaya atfedebileceğimiz en eski büyük kötü amaçlı yazılım enjeksiyonlarından biri, Gazete ve Newsmag WordPress temalarında ifşa edilen güvenlik hatalarının aktif olarak kötüye kullanıldığı 2017 yazında gerçekleşti."

Balada Injector, ilk olarak Aralık 2022'de Doctor Web tarafından keşfedilen ve tehdit aktörlerinin hassas sistemlere bir Linux arka kapısı dağıtmak için çeşitli WordPress eklenti kusurlarından yararlandığı büyük ölçekli bir operasyondur.

İmplantın temel amacı, güvenliği ihlal edilmiş sitelerin kullanıcılarını sahte teknik destek sayfalarına, hileli piyango kazançlarına ve push bildirim dolandırıcılıklarına yönlendirmektir. 2017'den bu yana kampanyadan bir milyondan fazla web sitesi etkilendi.

Balada Enjektörünü içeren saldırılar, hafta sonu boyunca bir dalganın başlamasının ardından Salı günleri tespit edilen enfeksiyonlarda bir artışla birlikte, birkaç haftada bir meydana gelen tekrarlayan aktivite dalgaları şeklinde ortaya çıkar.

En son ihlal seti, kötü amaçlı bir komut dosyası enjekte etmek ve nihayetinde arka kapılar yükleyerek, kötü amaçlı eklentiler ekleyerek ve sahte blog yöneticileri oluşturarak siteler üzerinde kalıcı erişim sağlamak için CVE-2023-3169'dan yararlanılmasını gerektirir.

Tarihsel olarak, bu komut dosyaları, düşmanın, takip saldırıları için kullanabilecekleri yeni yönetici kullanıcıları oluşturmak da dahil olmak üzere, yönetici arayüzü aracılığıyla yükseltilmiş ayrıcalıklarla kötü amaçlı eylemler gerçekleştirmesine izin verdiği için, oturum açmış WordPress site yöneticilerini hedef almıştır.

Komut dosyalarının hızla gelişen doğası, web sitelerinin 404 hata sayfalarına rastgele PHP kodu çalıştırabilen bir arka kapı yerleştirme veya alternatif olarak, kötü amaçlı bir wp-zexit eklentisini otomatik bir şekilde yüklemek için sayfalara gömülü koddan yararlanma yetenekleriyle kanıtlanmaktadır.

Sucuri described it as "one of the most complex types of attacks" performed by the script, given it mimics the entire process of installing a plugin from a ZIP archive file and activating it.

The core functionality of the plugin is the same as the backdoor, which is to execute PHP code sent remotely by the threat actors.

Newer attack waves observed in late September 2023 entail the use of randomized code injections to download and launch a second-stage malware from a remote server to install the wp-zexit plugin.

Also used are obfuscated scripts that transmit the visitor's cookies to an actor-controlled URL and fetch in return an unspecified JavaScript code.

"Their placement in files of the compromised sites clearly show that this time instead of using the tagDiv Composer vulnerability, attackers leveraged their backdoors and malicious admin users that had been planted after successful attacks against website admins," Sinegubko explained.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği