چندین کمپین Balada Injector بیش از 17000 سایت وردپرس را با استفاده از نقص های شناخته شده در افزونه های تم ممتاز به خطر انداخته و آنها را آلوده کرده است.
Balada Injector یک عملیات عظیم است که در دسامبر 2022 توسط دکتر وب کشف شد و از اکسپلویتهای مختلفی برای پلاگینهای شناخته شده وردپرس و نقصهای موضوعی برای ایجاد بَک دُر لینوکس استفاده میکند.
درپشتی بازدیدکنندگان وبسایتهای در معرض خطر را به صفحات پشتیبانی فناوری جعلی، برندههای تقلبی در قرعهکشی و کلاهبرداریهای اعلان فشار هدایت میکند، بنابراین یا بخشی از کمپینهای کلاهبرداری است یا خدماتی است که به کلاهبرداران فروخته میشود.
در آوریل 2023، Sucuri گزارش داد که Balada Injector از سال 2017 فعال بوده است و تخمین زده است که نزدیک به یک میلیون سایت وردپرس را در معرض خطر قرار داده است.
کمپین فعلی هکر ها
عوامل تهدید از نقص برنامهنویسی متقابل CVE-2023-3169 (XSS) در tagDiv Composer، ابزاری همراه برای تمهای روزنامه tagDiv و Newsmag برای سایتهای وردپرس استفاده میکنند.
طبق آمار عمومی EnvatoMarket، Newspaper 137000 فروش و Newsmag بیش از 18500 فروش دارد، بنابراین سطح حمله 155500 وبسایت است، بدون احتساب نسخههای غیرقانونی.
این دو مضامین ممتاز (پرداختی) هستند که اغلب توسط پلتفرمهای آنلاین پررونق که عملکردهای سالم را حفظ میکنند و ترافیک قابل توجهی را جمعآوری میکنند، استفاده میشوند.
آخرین کمپین با هدف قرار دادن CVE-2023-3169 در اواسط شهریور، اندکی پس از افشای جزئیات آسیبپذیری و انتشار PoC (سوء استفاده اثبات مفهوم) آغاز شد.
این حملات با کمپینی که در اوایل مهر با BleepingComputer به اشتراک گذاشته شده بود، مطابقت دارد، زمانی که مدیران در Reddit گزارش دادند که بسیاری از سایتهای وردپرس به یک افزونه مخرب به نام wp-zexit.php آلوده شدهاند.
منبع: BleepingComputer
این افزونه به عوامل تهدید اجازه میدهد تا کد PHP را از راه دور ارسال کنند که در فایل /tmp/i ذخیره شده و اجرا شود.
این حملات همچنین با تزریق کد به قالبهایی که کاربران را به سایتهای کلاهبرداری تحت کنترل مهاجم هدایت میکرد، مشخص میشد.
در آن زمان، یکی از نمایندگان tagDiv تایید کرد که از این نقص آگاه بودند و به مردم گفت که آخرین تم را برای جلوگیری از حملات نصب کنند.
tagDiv توضیح داد: “ما از این موارد آگاه هستیم. این بدافزار می تواند وب سایت هایی را که از نسخه های تم قدیمی استفاده می کنند، تحت تاثیر قرار دهد.”
“علاوه بر به روز رسانی موضوع، توصیه می شود بلافاصله یک افزونه امنیتی مانند wordfence را نصب کنید و وب سایت را اسکن کنید. همچنین همه رمزهای عبور وب سایت را تغییر دهید.”
گزارش Sucuri نور جدیدی بر این کمپین می اندازد و هشدار می دهد که چندین هزار سایت قبلاً در معرض خطر قرار گرفته اند.
علامت مشخصه بهره برداری CVE-2023-3169 یک اسکریپت مخرب است که در برچسب های خاص تزریق می شود، در حالی که خود تزریق مبهم را می توان در جدول ‘wp_options’ پایگاه داده وب سایت یافت.
Sucuri شش موج حمله متمایز را مشاهده کرده است که برخی از آنها انواع مختلفی نیز دارند و در زیر خلاصه می شوند:
به خطر انداختن سایت های وردپرس با تزریق اسکریپت های مخرب از stay.decentralappps[.]com. این نقص باعث انتشار کدهای مخرب در صفحات عمومی می شد. بیش از 5000 سایت تحت تاثیر دو نوع (4000 و 1000) قرار گرفتند.
استفاده از اسکریپت مخرب برای ایجاد حساب های سرکش مدیر وردپرس. در ابتدا از یک نام کاربری ‘greeceman’ استفاده می شد، اما مهاجمان بر اساس نام میزبان سایت، به نام های کاربری تولید شده خودکار روی آوردند.
از ویرایشگر تم وردپرس برای جاسازی درهای پشتی در فایل 404.php موضوع روزنامه برای تداوم مخفیانه سوء استفاده کنید.
مهاجمان به نصب پلاگین wp-zexit که قبلا ذکر شد روی آوردند که رفتار مدیر وردپرس را تقلید می کرد و درب پشتی را در رابط Ajax وب سایت پنهان می کرد.
معرفی سه دامنه جدید و افزایش تصادفی سازی در میان اسکریپت ها، URL ها و کدهای تزریق شده، ردیابی و شناسایی را چالش برانگیزتر کرد. یک تزریق خاص از این موج در 484 سایت مشاهده شد.
حملات اکنون به جای اقامت.decentralappps[.]com از زیر دامنههای promsmotion[.]com استفاده میکنند و استقرار آن را به سه تزریق خاص شناساییشده در وبسایتهای 92، 76 و 67 محدود میکنند. علاوه بر این، اسکنر Sucuri تزریق های تبلیغاتی را در مجموع 560 سایت تشخیص می دهد.
به طور کلی، Sucuri می گوید Balada Injector را در بیش از 17000 سایت وردپرس در سپتامبر 2023 شناسایی کرده است که بیش از نیمی (9000) با بهره برداری از CVE-2023-3169 به دست آمده است. این یعنی امنیت وردپرس بیش از آنچه که فکر میکنید اهمیت دارد. طراح ناب دوره آموزش امنیت وردپرس را بصورت تخصصی و حرفه ای برگزار کرده است میتوانید با مراحعه به بخش دوره ها ، تمامی دوره های طراح ناب را ملاحظه کنید.
امواج حمله به سرعت بهینهسازی شدند، که نشان میدهد عوامل تهدید میتوانند به سرعت تکنیکهای خود را برای دستیابی به حداکثر تأثیر تطبیق دهند.
برای دفاع در برابر Balada Injector توصیه می شود افزونه tagDiv Composer را به نسخه 4.2 یا بالاتر ارتقا دهید که آسیب پذیری ذکر شده را برطرف می کند.
همچنین، تمام تم ها و افزونه های خود را به روز نگه دارید، حساب های کاربری غیر فعال را حذف کنید و فایل های خود را برای درهای پشتی مخفی اسکن کنید.
اسکنر بدون دسترسی Sucuri اکثر انواع Balada Injector را شناسایی می کند، بنابراین ممکن است بخواهید از آن برای اسکن نصب وردپرس خود برای به خطر افتادن استفاده کنید
