Siber Muhbir

İlk olarak Ocak 2023'te Doctor Web tarafından belgelenen kampanya, virüslü sitelerin ziyaretçilerini sahte teknik destek sayfalarına, hileli piyango kazançlarına ve anında iletme bildirimi dolandırıcılıklarına yönlendirmek için tasarlanmış arka kapı enjekte etmek için WordPress eklentilerindeki güvenlik kusurlarını silah haline getiren bir dizi periyodik saldırı dalgasında gerçekleşiyor.

Sucuri tarafından ortaya çıkarılan müteakip bulgular, 2017'den beri aktif olduğu ve o zamandan beri en az 1 milyon bölgeye sızdığı söylenen operasyonun devasa ölçeğini ortaya çıkardı.

13 Aralık 2023'te en son Balada Injector etkinliğini tespit eden GoDaddy'ye ait web sitesi güvenlik şirketi, enjeksiyonları 7.100'den fazla sitede tespit ettiğini söyledi.

Bu saldırılar, 200.000'den fazla aktif yüklemeye sahip bir eklenti olan Popup Builder'daki (CVE-2023-6000, CVSS puanı: 8.8) bir gün önce WPScan tarafından kamuya açıklanan yüksek önem derecesine sahip bir kusurdan yararlanır. Bu sorun 4.2.3 sürümünde giderildi.

WPScan araştırmacısı Marc Montpas, "Başarılı bir şekilde istismar edildiğinde, bu güvenlik açığı, saldırganların, hedefledikleri oturum açmış yöneticinin, rastgele eklentiler yüklemek ve yeni hileli Yönetici kullanıcıları oluşturmak da dahil olmak üzere, hedeflenen sitede yapmasına izin verilen herhangi bir eylemi gerçekleştirmesine izin verebilir" dedi.

Kampanyanın nihai amacı, specialcraftbox[.] com ve web sitesinin kontrolünü ele geçirmek ve kötü amaçlı yönlendirmeleri kolaylaştırmak için ek JavaScript yüklemek için kullanın.

Ayrıca, Balada Injector'ın arkasındaki tehdit aktörlerinin, arka kapılar yükleyerek, kötü amaçlı eklentiler ekleyerek ve hileli blog yöneticileri oluşturarak güvenliği ihlal edilmiş siteler üzerinde kalıcı kontrol sağladıkları bilinmektedir.

Bu genellikle, oturum açmış site yöneticilerini özel olarak hedeflemek için JavaScript enjeksiyonları kullanılarak gerçekleştirilir.

Sucuri araştırmacısı Denis Sinegubko, geçen yıl "Buradaki fikir, bir blog yöneticisi bir web sitesine giriş yaptığında, tarayıcılarının her yeni sayfada kimliklerini doğrulamak zorunda kalmadan tüm idari görevlerini yapmalarına izin veren çerezler içermesidir" dedi.

"Bu nedenle, tarayıcıları yönetici etkinliğini taklit etmeye çalışan bir komut dosyası yüklerse, WordPress yönetici arayüzü aracılığıyla yapılabilecek hemen hemen her şeyi yapabilecek."

Yeni dalga, oturum açmış yönetici çerezleri tespit edilirse, yukarıda belirtilen etki alanından ikinci aşama bir yük getirmek için hileli bir arka kapı eklentisi ("wp-felody.php" veya "Wp Felody") yüklemek ve etkinleştirmek için yükseltilmiş ayrıcalıkları silahlandırması bakımından bir istisna değildir.

Başka bir arka kapı olan yük, "sasas" adı altında geçici dosyaların depolandığı dizine kaydedilir ve daha sonra yürütülür ve diskten silinir.

Sinegubko, "Mevcut dizinin üç seviye yukarısını kontrol ediyor, mevcut sitenin kök dizinini ve aynı sunucu hesabını paylaşabilecek diğer siteleri arıyor" dedi.

"Ardından, algılanan site kök dizinlerinde, wp-blog-header.php dosyasını, Popup Builder güvenlik açığı aracılığıyla orijinal olarak enjekte edilenle aynı Balada JavaScript kötü amaçlı yazılımını enjekte edecek şekilde değiştirir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.