발라다 인젝터 워드프레스 절충안
끊임없이 진화하는 사이버 보안의 세계에서 웹사이트를 보호하려면 경계를 늦추지 않는 것이 중요합니다. 최근 발라다 인젝터로 알려진 위협이 워드프레스에 어두운 그림자를 드리우며 지난 한 달 동안 17,000개 이상의 웹사이트를 손상시켰습니다. 이 블로그 게시물에서는 다음과 같은 발라다 인젝터 워드프레스 침해의 세부 사항과 그 영향, 그리고 가장 중요한 것은 이 위협으로부터 워드프레스 사이트를 보호하는 방법입니다.
발라다 인젝터 워드프레스 타협: 개요
발라다 인젝터는 잘 알려지지는 않았지만 워드프레스 커뮤니티에 큰 영향을 미쳤습니다. 웹 박사는 이 사이버 활동을 2022년 12월. 발라다 인젝터는 프리미엄 테마 플러그인의 알려진 취약점을 활용하여 Linux 컴퓨터에 백도어를 주입합니다. 이 악성 백도어는 웹사이트 방문자를 가짜 기술 지원 페이지, 가짜 복권 당첨, 푸시 알림 사기로 리디렉션합니다.
이 작전이 광범위한 사기 캠페인의 일부인지 아니면 악의적인 행위자에게 제공되는 서비스인지 등 그 성격에 대한 의문이 제기되고 있습니다. 어쨌든 웹사이트 소유자와 방문자에게 미치는 영향은 부인할 수 없습니다.
수명 및 확장성
2023년 4월, 수쿠리가 2017년부터 활동한 발라다 인젝터가 약 100만 개의 워드프레스 사이트를 손상시킬 수 있다고 보고하면서 놀라운 사실이 드러났습니다. 이는 장기적이고 지속적인 위협을 의미하므로 웹사이트 관리자가 정보를 파악하고 조치를 취하는 것이 필수적입니다.
최신 캠페인: CVE-2023-3169 익스플로잇
최신 발라다 인젝터 캠페인은 태그디브 컴포저에서 발견된 크로스 사이트 스크립팅(XSS) 취약점인 CVE-2023-3169에 초점을 맞추고 있습니다. 이 도구는 태그디브의 신문 및 뉴스매거진 테마와 함께 작동하며, 이 테마는 워드프레스 사이트에서 인기 있는 대체 테마로 사용됩니다. 두 테마 모두 프리미엄 테마로 트래픽이 많은 성공적인 웹사이트에서 자주 사용됩니다.
이 새로운 캠페인은 워드프레스 보안 침해 취약점이 공개된 직후인 9월 중순에 시작되었으며, 취약점을 이용한 개념 증명 익스플로잇 가 공개된 직후인 9월 중순에 시작되었습니다. 공격자들은 악성 플러그인 "wp-zexit.php"를 사용하여 워드프레스 사이트에 침투하여 "/tmp/i" 파일에 저장된 PHP 코드를 원격으로 실행할 수 있었습니다. 또한 템플릿에 코드를 삽입하여 공격자가 제어하는 사기 사이트로 방문자를 유도했습니다.
영향을 받은 테마의 개발사인 태그디브는 이 문제를 인정하고 예방 조치로 최신 테마 버전으로 업데이트할 것을 권장했습니다. Wordfence와 같은 보안 플러그인을 설치하고, 웹사이트를 검사하고, 모든 웹사이트 비밀번호를 변경하는 것도 예방 조치로 제안되었습니다.
수쿠리의 인사이트: 캠페인의 복잡성
수쿠리의 보고서는 발라다 인젝터 캠페인에 대한 포괄적인 시각을 제공합니다. 이 보고서에서는 6개의 뚜렷한 공격 파동을 강조하며, 그 중 일부는 변형을 통해 공격자의 정교함을 강조합니다. 자세한 내용은 다음과 같습니다. 워드프레스에 대한 멀웨어 공격:
- 워드프레스 사이트 손상: 공격자는 "stay.decentralappps[.]com"에서 악성 스크립트를 삽입하여 5,000개 이상의 웹사이트에 영향을 미쳤습니다.
- 로그 관리자 계정 생성: 공격자는 처음에는 "greeceman"이라는 사용자 이름을 사용했지만 나중에 사이트의 호스트 이름을 기반으로 자동 생성된 사용자 이름으로 전환했습니다.
- 백도어 임베딩: 워드프레스 테마 편집기를 악용하여 신문 테마의 "404.php" 파일에 백도어를 삽입하여 은밀하게 지속되도록 했습니다.
- wp-zexit 플러그인 활용: 공격자는 이 플러그인을 사용하여 워드프레스 관리자 동작을 모방하고 웹사이트의 Ajax 인터페이스에 백도어를 숨겼습니다.
- 무작위화 증가: 공격자들은 탐지를 회피하기 위해 3개의 새로운 도메인을 도입하고 삽입된 스크립트, URL, 코드에 무작위성을 강화했습니다.
- 새로운 도메인: 공격은 92개, 76개, 67개 웹사이트에서 탐지된 세 가지 특정 인젝션에 초점을 맞춰 "promsmotion[.]com" 하위 도메인을 사용하는 방식으로 전환되었습니다.
수쿠리의 조사 결과에 따르면 17,000 워드프레스 사이트가 2023년 9월에 발라다 인젝터의 피해를 입었으며, 그 중 약 절반(9,000개)이 CVE-2023-3169를 통해 침해당했습니다. 이는 공격자들이 자신들의 영향력을 극대화하기 위해 신속하게 적응할 수 있다는 것을 강조합니다.
발라다 인젝터 방어
Balada 인젝터로부터 워드프레스 사이트 를 보호하는 것이 가장 중요합니다. 다음은 방어를 강화하는 단계입니다:
- 태그디비 컴포저를 업데이트합니다: 태그디비 컴포저 플러그인이 최소 버전 4.2 이상으로 업데이트되었는지 확인하세요. 이 업데이트는 발라다 인젝터가 표적으로 삼은 취약점을 해결합니다.
- 테마 및 플러그인을 최신 상태로 유지하세요: 워드프레스 사이트의 모든 테마와 플러그인을 정기적으로 업데이트하세요. 개발자는 종종 취약점을 패치하고 보안을 강화하는 업데이트를 출시합니다.
- 휴면 사용자 계정 삭제하기: 사용자 계정을 살펴보고 더 이상 활성화되어 있지 않거나 필요하지 않은 계정을 제거하세요. 공격자의 잠재적 진입 지점을 줄이는 것은 현명한 예방책입니다.
- 숨겨진 백도어를 검사하세요: 웹사이트 파일에 숨겨진 백도어나 악성 코드가 있는지 정기적으로 검사하세요. 이 점에서 보안 플러그인이 유용할 수 있습니다.
결론
최근 17,000개 이상의 워드프레스 웹사이트에 대한 발라다 인젝터의 공격은 디지털 환경에 상존하는 위협을 극명하게 보여주는 사례입니다. 워드프레스 취약성 완화 는 안전하고 탄력적인 안전하고 탄력적인 웹사이트 유지. 최신 정보를 파악하고 경계를 늦추지 않으며 온라인 자산을 보호하기 위한 선제적 조치를 취하는 것은 우리의 책임입니다.
구현하기 웹사이트 보안 모범 사례 을 구현하는 것은 온라인 활동을 보호하는 데 필수적입니다. 권장 보안 조치에 따라 권장 보안 조치 를 따르고 최신 개발 사항을 최신 상태로 유지하면 Balada Injector 및 기타 사이버 보안 위협으로 인한 위험을 완화할 수 있습니다. 웹사이트의 안전과 방문자의 신뢰가 여기에 달려 있습니다!
이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스 와 SC 미디어.