![2023 年 9 月,超过 17,000 个 WordPress 网站受到 Balada Injector 的攻击]( "2023 年 9 月,超过 17,000 个 WordPress 网站受到 Balada Injector 的攻击")
2023 年 9 月,超过 17,000 个 WordPress 网站遭到名为Balada Injector的恶意软件的攻击,几乎是 8 月份检测到的数量的两倍。
其中,据称有 9,000 个网站已被 tagDiv Composer 插件中最近披露的安全漏洞(CVE-2023-3169,CVSS 评分:6.1)渗透,未经身份验证的用户可能会利用该漏洞执行存储的跨站点脚本编写( XSS ) 攻击。
Sucuri 安全研究员 Denis Sinegubko表示:“这并不是 Balada Injector 团伙第一次针对 tagDiv 的高级主题中的漏洞进行攻击。”
“我们可以归因于该活动的最早的大规模恶意软件注入之一发生在 2017 年夏天,当时报纸和 Newsmag WordPress 主题中披露的安全漏洞被积极滥用。
”Balada Injector 是 Doctor Web 于 2022 年 12 月首次发现的大规模操作,其中威胁行为者利用各种 WordPress 插件缺陷在易受影响的系统上部署 Linux 后门。
植入的主要目的是将受感染网站的用户引导至虚假技术支持页面、欺诈性彩票中奖和推送通知诈骗。自 2017 年以来,已有超过 100 万个网站受到该活动的影响。
涉及巴拉达注射器的攻击以每几周发生一次的重复活动波的形式发生,周末一波攻击开始后,每周二检测到的感染数量激增。
最新的一系列漏洞需要利用 CVE-2023-3169 注入恶意脚本,并最终通过上传后门、添加恶意插件和创建流氓博客管理员来建立对网站的持久访问。
从历史上看,这些脚本的目标是登录的 WordPress 站点管理员,因为它们允许攻击者通过管理界面以提升的权限执行恶意操作,包括创建可用于后续攻击的新管理员用户。
这些脚本的快速发展性质体现在它们能够在网站的404 错误页面中植入后门,这些后门能够执行任意 PHP 代码,或者利用嵌入到页面中的代码来安装恶意 wp-zexit 插件以自动化的方式。
Sucuri 将其描述为脚本执行的“最复杂的攻击类型之一”,因为它模仿了从 ZIP 存档文件安装插件并激活它的整个过程。
该插件的核心功能与后门相同,都是执行威胁者远程发送的PHP代码。
2023 年 9 月下旬观察到的新攻击浪潮需要使用随机代码注入从远程服务器下载并启动第二阶段恶意软件以安装 wp-zexit 插件。
还使用了模糊脚本,将访问者的 cookie 传输到参与者控制的 URL,并获取返回未指定的 JavaScript 代码。
“它们在受感染网站文件中的位置清楚地表明,这一次攻击者没有使用 tagDiv Composer 漏洞,而是利用了在成功攻击网站管理员后植入的后门和恶意管理员用户,”Sinegubko 解释道。
原文来自: thehackernews.com
原文链接:https://thehackernews.com/2023/10/over-17000-wordpress-sites-compromised.html
![2023 年 9 月,超过 17,000 个 WordPress 网站受到 Balada Injector 的攻击]( "2023 年 9 月,超过 17,000 个 WordPress 网站受到 Balada Injector 的攻击")
欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!
原文始发于微信公众号(邑安全):2023 年 9 月,超过 17,000 个 WordPress 网站受到 Balada Injector 的攻击
评论