ClickCease 7,000개 이상의 워드프레스 사이트를 침해하는 Balada 인젝터 멀웨어

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

7,000개 이상의 워드프레스 사이트를 침해하는 Balada 인젝터 멀웨어

와자핫 라자

2024년 1월 30일 TuxCare 전문가 팀

위협 행위자들은 최근 발라다 인젝터 멀웨어 를 사용하여 플러그인 취약점을 악용하여 7,000개 이상의 워드프레스 사이트가 침해당했습니다. 최근 보고서 에서는 워드프레스 발라다 인젝터 감염에 대해 자세히 설명하면서 2022년 12월에 공격이 처음 문서화되었다고 주장했습니다. 공격이 진행되는 동안 취약한 버전의 팝업 빌더 플러그인 이 악용되었습니다.

이 글에서는 다음과 같은 발라다 인젝터 멀웨어에 대해 자세히 알아보겠습니다. 발라다 인젝터 멀웨어 공격에 대해 자세히 알아보고 어떻게 전개되는지 살펴보겠습니다.

발라다 인젝터 멀웨어 제품군 

발라다 인젝터 멀웨어의 기원에 대한 이해 구축 발라다 인젝터 멀웨어 의 기원을 이해하는 것은 복잡한 공격에 대해 자세히 알아보기 전에 필수적입니다. 이 멀웨어 패밀리는 2017년부터 활동 부터 활동했으며 여러 공격 공급업체와 지속성 메커니즘을 지원하여 악의적인 의도를 구현할 수 있습니다.

이 악성 코드가 작년 12월 말에 처음 발견되었다는 점을 언급할 필요가 있습니다. A 닥터 웹의 보고서 의 보고서 워드프레스 플러그인 취약점 익스플로잇 에 따르면 악성 프로그램이 여러 플러그인과 테마를 악용하여 워드프레스 콘텐츠 관리 시스템(CMS) 기반 웹사이트를 해킹할 수 있다고 합니다.

이전에 사용한 공격 발라다 인젝터 멀웨어 를 사용한 이전 공격으로 인해 작년 9월에는 17,000개 이상의 사이트가 손상되었습니다. 이 기간 동안 손상된 웹사이트의 수는 전월의 두 배 이상에 달했습니다. 당시 공격에서는 태그디브의 프리미엄 테마와 관련된 취약점이 악용되었습니다.

발라다 인젝터 멀웨어 및 팝업 빌더 플러그인 

닥터 웹의 보고서는 공격 방법론에 대한 추가 인사이트를 제공하며, 오래된 버전의 플러그인과 테마를 사용하는 사이트가 위험에 처해 있다고 설명합니다. 이러한 버전에는 중요한 수정 사항이 없기 때문에 위협 공격자가 악성 자바스크립트 코드를 표적 페이지에 삽입할 수 있습니다. 

코드가 삽입되면 공격받은 페이지의 임의의 영역을 클릭하는 사용자는 다른 사이트로 리디렉션됩니다. 지금까지 팝업 빌더 플러그인의 경우 해커는 이 취약점을 악용하여 관리자 권한으로 로그인한 사용자를 대신하여 악의적인 작업을 수행할 수 있습니다.

무엇이 발라다 인젝터 멀웨어 가 더욱 위협적인 이유는 익스플로잇된 취약점이 새로운 악성 관리자 사용자를 생성하는 데에도 사용될 수 있다는 점입니다. 이 취약점은 심각도 점수가 8.8인 CVE-2023-6000으로 확인되었습니다.

팝업 빌더 플러그인 공격 해독하기 

공격에 대한 자세한 내용을 살펴보기 전에 여기서 한 가지 언급할 가치가 있습니다. 팝업 빌더 플러그인 의 설치 건수가 200,000건이 넘습니다. 이러한 높은 사용량은 발라다 인젝터 멀웨어 위협을 더욱 강화합니다. 최근의 공격에서 위협 행위자가 로그인한 관리자 쿠키를 탐지할 수 있다는 사실이 관찰되었습니다.

일단 탐지되면 이를 악용하여 wp-felony.php라는 악성 백도어 플러그인을 설치 및 활성화합니다. 이 러프 플러그인이 활성화되면 특별크래프트박스[.]닷컴의 페이로드를 배포하는 데 사용되며, 이 페이로드는 sasas 파일에 저장됩니다. 이러한 접근 방식을 통해 위협 공격자는 사이트 루트 디렉터리를 탐지하고 "wp-blog-header.php."

여기서부터 해커는 다음을 주입할 수 있습니다. 발라다 인젝터 멀웨어 를 쉽게 주입할 수 있습니다. 공격이 어떻게 실행되는지 이해하는 것이 가장 중요합니다. 사이버 보안 전략 개발. 또한 관리자는 인젝터를 찾아서 제거하여 보호 조치를 취할 수 있습니다. "사용자 정의 JS 또는 CSS" 에 액세스하여 인젝션을 찾아 제거함으로써 보호 조치를 취할 수 있습니다.

결론 

그리고 발라다 인젝터 멀웨어 는 팝업 빌더 플러그인과 관련된 CVE-2023-6000의 활성 익스플로잇입니다. 팝업 빌더 플러그인. 이 취약점이 익스플로잇되면 해커는 관리자 권한을 사용할 수 있으며 루즈 관리자 사용자를 생성할 수도 있습니다. 해당 플러그인의 설치 수가 20만 건이 넘는다는 점을 고려하면 강력한 사이버 보안 조치 을 구현하는 것은 이러한 위협으로부터 보호하는 데 필수적입니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스다크 리딩.

요약
7,000개 이상의 워드프레스 사이트를 침해하는 Balada 인젝터 멀웨어
기사 이름
7,000개 이상의 워드프레스 사이트를 침해하는 Balada 인젝터 멀웨어
설명
Balada 인젝터 멀웨어에 대한 포괄적인 인사이트를 확보하고 지금 바로 악성 활동에 대한 보호 조치를 구현하는 방법을 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기