Eylül 2023'te 17.000'den Fazla WordPress Sitesinin Güvenliği Balada Injector Tarafından Ele Geçirildi - Dünyadan Güncel Teknoloji Haberleri

Eylül 2023'te 17.000'den Fazla WordPress Sitesinin Güvenliği Balada Injector Tarafından Ele Geçirildi - Dünyadan Güncel Teknoloji Haberleri
Kampanyadan bir milyondan fazla web sitesi etkilendi 2017’den beri 000 web sitesine tagDiv Composer eklentisinde yakın zamanda açıklanan bir güvenlik kusuru kullanılarak sızıldığı söyleniyor (CVE-2023-3169CVSS puanı: 6

Eylül 2023’ün sonlarında gözlemlenen daha yeni saldırı dalgaları, wp-zexit eklentisini yüklemek üzere uzak bir sunucudan ikinci aşama kötü amaçlı yazılım indirip başlatmak için rastgele kod enjeksiyonlarının kullanılmasını gerektiriyor ”

Balada Injector, ilk olarak Aralık 2022’de Doctor Web tarafından keşfedilen büyük ölçekli bir operasyondur

En son ihlal grubu, CVE-2023-3169’un kötü amaçlı bir komut dosyası enjekte etmek ve sonuçta arka kapılar yükleyerek, kötü amaçlı eklentiler ekleyerek ve hileli blog yöneticileri oluşturarak siteler üzerinde kalıcı erişim sağlamak için istismar edilmesini gerektiriyor

Ayrıca, ziyaretçinin çerezlerini aktör tarafından kontrol edilen bir URL’ye ileten ve karşılığında belirtilmemiş bir JavaScript kodu getiren karartılmış komut dosyaları da kullanılır


11 Ekim 2023Haber odasıWeb Sitesi Güvenliği / Hacking

Eylül 2023’te 17 000’den fazla WordPress web sitesinin güvenliği, şu bilinen kötü amaçlı yazılımla ele geçirildi: Balada EnjektörAğustos ayındaki tespit sayısının neredeyse iki katı

ana amaç Bu implantın amacı, ele geçirilen sitelerin kullanıcılarını sahte teknik destek sayfalarına, hileli piyango kazançlarına ve anlık bildirim dolandırıcılıklarına yönlendirmektir

Bunlardan 9

Komut dosyalarının hızla gelişen doğası, web sitelerinin 404 hata sayfalarına rastgele PHP kodu çalıştırabilen bir arka kapı yerleştirme veya alternatif olarak kötü amaçlı bir wp-zexit eklentisi yüklemek için sayfalara gömülü kodu kullanma yetenekleriyle kanıtlanmaktadır

“Bu kampanyaya atfedebileceğimiz en eski büyük çaplı kötü amaçlı yazılım enjeksiyonlarından biri, Gazete ve Newsmag WordPress temalarında açıklanan güvenlik hatalarının aktif olarak kötüye kullanıldığı 2017 yazında gerçekleşti

Sucuri güvenlik araştırmacısı Denis Sinegubko, “Bu, Balada Injector çetesinin tagDiv’in premium temalarındaki güvenlik açıklarını hedef aldığı ilk sefer değil

Balada Enjektörünün dahil olduğu saldırılar, birkaç haftada bir tekrarlanan aktivite dalgaları şeklinde gerçekleşiyor ve hafta sonu bir dalganın başlamasının ardından Salı günleri enfeksiyonlarda bir artış tespit ediliyor

Sinegubko, “Bunların ele geçirilen sitelerin dosyalarına yerleştirilmesi, saldırganların bu sefer tagDiv Composer güvenlik açığını kullanmak yerine arka kapılarından ve web sitesi yöneticilerine yönelik başarılı saldırıların ardından yerleştirilen kötü niyetli yönetici kullanıcılarından yararlandığını açıkça gösteriyor

Eklentinin temel işlevi, tehdit aktörleri tarafından uzaktan gönderilen PHP kodunu çalıştıran arka kapıyla aynıdır

Sucuri, ZIP arşiv dosyasından bir eklenti yükleme ve onu etkinleştirme sürecinin tamamını taklit ettiği göz önüne alındığında, bunu komut dosyası tarafından gerçekleştirilen “en karmaşık saldırı türlerinden biri” olarak tanımladı



siber-2

Burada tehdit aktörleri, duyarlı sistemlere bir Linux arka kapısı dağıtmak için çeşitli WordPress eklentisi kusurlarından yararlanır

Geçmişte, bu komut dosyaları, saldırganın, takip eden saldırılar için kullanabilecekleri yeni yönetici kullanıcıları oluşturmak da dahil olmak üzere, yönetici arayüzü aracılığıyla yükseltilmiş ayrıcalıklarla kötü amaçlı eylemler gerçekleştirmesine izin verdiğinden, oturum açmış WordPress site yöneticilerini hedef alıyordu ” dedi ” söz konusu otomatik bir şekilde 1) bu olabilir sömürülen Kimliği doğrulanmamış kullanıcılar tarafından depolanan siteler arası komut dosyası çalıştırma (XSS) saldırılar