Hơn 17.000 trang web WordPress bị xâm phạm trong cuộc tấn công Balada Injector vào tháng trước



Plugin này cho phép kẻ đe dọa gửi từ xa mã PHP sẽ được lưu vào tệp /tmp/i và được thực thi.

Các cuộc tấn công cũng được đánh dấu bằng việc mã được chèn vào các mẫu sẽ chuyển hướng người dùng đến các trang web lừa đảo dưới sự kiểm soát của kẻ tấn công.

Vào thời điểm đó, đại diện của tagDiv xác nhận rằng họ đã biết về lỗ hổng này và yêu cầu mọi người cài đặt theme mới nhất để ngăn chặn các cuộc tấn công.

tagDiv giải thích: “Chúng tôi đã biết những trường hợp này. Phần mềm độc hại có thể ảnh hưởng đến các trang web sử dụng phiên bản theme cũ hơn”.

"Bên cạnh việc cập nhật theme, khuyến nghị nên cài đặt ngay một plugin bảo mật như wordfence và quét trang web. Đồng thời thay đổi tất cả mật khẩu của trang web."

Báo cáo của Sucuri đã làm sáng tỏ chiến dịch này với cảnh báo rằng hàng nghìn trang web đã bị xâm phạm.

Dấu hiệu đặc trưng của việc khai thác CVE-2023-3169 là một tập lệnh độc hại được chèn vào các thẻ cụ thể, trong khi bản thân nội dung tiêm bị xáo trộn có thể được tìm thấy trong bảng 'wp_options' của cơ sở dữ liệu của trang web.

Sucuri đã quan sát thấy sáu làn sóng tấn công riêng biệt, một số trong đó cũng có các biến thể sau đây:

1. Xâm phạm các trang web WordPress bằng cách chèn các tập lệnh độc hại từ Stay.decentralappps[.]com. Lỗ hổng cho phép lan truyền mã độc trên các trang công khai. Hơn 5.000 trang web bị ảnh hưởng bởi hai biến thể (4.000 và 1.000).
2. Sử dụng tập lệnh độc hại để tạo tài khoản quản trị viên WordPress lừa đảo. Ban đầu, tên người dùng 'greeceman' đã được sử dụng, nhưng những kẻ tấn công đã chuyển sang tên người dùng được tạo tự động dựa trên tên máy chủ của trang web.
3. Lạm dụng trình chỉnh sửa theme của WordPress để nhúng các backdoor vào tệp 404.php của Newspaper theme nhằm mục đích hoạt động lén lút.
4. Những kẻ tấn công đã chuyển sang cài đặt plugin wp-zexit đã đề cập trước đó, bắt chước hành vi của quản trị viên WordPress và ẩn backdoor trong giao diện Ajax của trang web.
5. Việc giới thiệu ba miền mới và tăng cường tính ngẫu nhiên trên các tập lệnh, URL và mã được chèn khiến việc theo dõi và phát hiện trở nên khó khăn hơn. Một lầninjection cụ thể từ làn sóng (wave) này đã được nhìn thấy ở 484 site.
6. Các cuộc tấn công hiện sử dụng tên miền phụ Promsmotion[.]com thay vì Stay.decentralappps[.]com và giới hạn việc triển khai ở ba lần injection cụ thể được phát hiện ở 92, 76 và 67 trang web. Ngoài ra, máy quét của Sucuri phát hiện các hoạt động injection quảng cáo trên tổng số 560 trang web.

Nhìn chung, Sucuri cho biết họ đã phát hiện Balada Injector trên hơn 17.000 trang web WordPress vào tháng 9 năm 2023, với hơn một nửa (9.000) đạt được nhờ khai thác CVE-2023-3169.

Các làn sóng (wave) tấn công được tối ưu hóa nhanh chóng, cho thấy kẻ tấn công có thể nhanh chóng điều chỉnh các kỹ thuật của chúng để đạt được tác động tối đa.

Để chống lại Balada Injector, bạn nên nâng cấp plugin tagDiv Composer lên phiên bản 4.2 trở lên để giải quyết lỗ hổng được đề cập.

Ngoài ra, hãy cập nhật tất cả các theme và plugin, xóa tài khoản người dùng không hoạt động và quét các tệp của bạn để tìm các backdoor ẩn.

Trình quét truy cập miễn phí của Sucuri phát hiện hầu hết các biến thể Balada Injector, vì vậy bạn có thể muốn sử dụng nó để quét cài đặt WordPress của mình để phát hiện sự xâm phạm.

Nguồn: bleepingcomputer.com