ClickCease 발라다 인젝터 워드프레스 절충안

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

발라다 인젝터 워드프레스 절충안

와자핫 라자

2023년 10월 23일 - TuxCare 전문가 팀

끊임없이 진화하는 사이버 보안의 세계에서 웹사이트를 보호하려면 경계를 늦추지 않는 것이 중요합니다. 최근 발라다 인젝터로 알려진 위협이 워드프레스에 어두운 그림자를 드리우며 지난 한 달 동안 17,000개 이상의 웹사이트를 손상시켰습니다. 이 블로그 게시물에서는 다음과 같은 발라다 인젝터 워드프레스 침해의 세부 사항과 그 영향, 그리고 가장 중요한 것은 이 위협으로부터 워드프레스 사이트를 보호하는 방법입니다.


발라다 인젝터 워드프레스 타협: 개요


발라다 인젝터는 잘 알려지지는 않았지만 워드프레스 커뮤니티에 큰 영향을 미쳤습니다. 웹 박사는 이 사이버 활동을
2022년 12월. 발라다 인젝터는 프리미엄 테마 플러그인의 알려진 취약점을 활용하여 Linux 컴퓨터에 백도어를 주입합니다. 이 악성 백도어는 웹사이트 방문자를 가짜 기술 지원 페이지, 가짜 복권 당첨, 푸시 알림 사기로 리디렉션합니다.

이 작전이 광범위한 사기 캠페인의 일부인지 아니면 악의적인 행위자에게 제공되는 서비스인지 등 그 성격에 대한 의문이 제기되고 있습니다. 어쨌든 웹사이트 소유자와 방문자에게 미치는 영향은 부인할 수 없습니다.


수명 및 확장성


2023년 4월, 수쿠리가 2017년부터 활동한 발라다 인젝터가 약 100만 개의 워드프레스 사이트를 손상시킬 수 있다고 보고하면서 놀라운 사실이 드러났습니다. 이는 장기적이고 지속적인 위협을 의미하므로 웹사이트 관리자가 정보를 파악하고 조치를 취하는 것이 필수적입니다.


최신 캠페인: CVE-2023-3169 익스플로잇


최신 발라다 인젝터 캠페인은 태그디브 컴포저에서 발견된 크로스 사이트 스크립팅(XSS) 취약점인 CVE-2023-3169에 초점을 맞추고 있습니다. 이 도구는 태그디브의 신문 및 뉴스매거진 테마와 함께 작동하며, 이 테마는 워드프레스 사이트에서 인기 있는 대체 테마로 사용됩니다. 두 테마 모두 프리미엄 테마로 트래픽이 많은 성공적인 웹사이트에서 자주 사용됩니다.

이 새로운 캠페인은 워드프레스 보안 침해 취약점이 공개된 직후인 9월 중순에 시작되었으며, 취약점을 이용한 개념 증명 익스플로잇 가 공개된 직후인 9월 중순에 시작되었습니다. 공격자들은 악성 플러그인 "wp-zexit.php"를 사용하여 워드프레스 사이트에 침투하여 "/tmp/i" 파일에 저장된 PHP 코드를 원격으로 실행할 수 있었습니다. 또한 템플릿에 코드를 삽입하여 공격자가 제어하는 사기 사이트로 방문자를 유도했습니다.

 

영향을 받은 테마의 개발사인 태그디브는 이 문제를 인정하고 예방 조치로 최신 테마 버전으로 업데이트할 것을 권장했습니다. Wordfence와 같은 보안 플러그인을 설치하고, 웹사이트를 검사하고, 모든 웹사이트 비밀번호를 변경하는 것도 예방 조치로 제안되었습니다.


수쿠리의 인사이트: 캠페인의 복잡성


수쿠리의 보고서는 발라다 인젝터 캠페인에 대한 포괄적인 시각을 제공합니다. 이 보고서에서는 6개의 뚜렷한 공격 파동을 강조하며, 그 중 일부는 변형을 통해 공격자의 정교함을 강조합니다. 자세한 내용은 다음과 같습니다.
워드프레스에 대한 멀웨어 공격:

 

  1. 워드프레스 사이트 손상: 공격자는 "stay.decentralappps[.]com"에서 악성 스크립트를 삽입하여 5,000개 이상의 웹사이트에 영향을 미쳤습니다.
  2. 로그 관리자 계정 생성: 공격자는 처음에는 "greeceman"이라는 사용자 이름을 사용했지만 나중에 사이트의 호스트 이름을 기반으로 자동 생성된 사용자 이름으로 전환했습니다.
  3. 백도어 임베딩: 워드프레스 테마 편집기를 악용하여 신문 테마의 "404.php" 파일에 백도어를 삽입하여 은밀하게 지속되도록 했습니다.
  4. wp-zexit 플러그인 활용: 공격자는 이 플러그인을 사용하여 워드프레스 관리자 동작을 모방하고 웹사이트의 Ajax 인터페이스에 백도어를 숨겼습니다.
  5. 무작위화 증가: 공격자들은 탐지를 회피하기 위해 3개의 새로운 도메인을 도입하고 삽입된 스크립트, URL, 코드에 무작위성을 강화했습니다.
  6. 새로운 도메인: 공격은 92개, 76개, 67개 웹사이트에서 탐지된 세 가지 특정 인젝션에 초점을 맞춰 "promsmotion[.]com" 하위 도메인을 사용하는 방식으로 전환되었습니다.

 

수쿠리의 조사 결과에 따르면 17,000 워드프레스 사이트가 2023년 9월에 발라다 인젝터의 피해를 입었으며, 그 중 약 절반(9,000개)이 CVE-2023-3169를 통해 침해당했습니다. 이는 공격자들이 자신들의 영향력을 극대화하기 위해 신속하게 적응할 수 있다는 것을 강조합니다.


발라다 인젝터 방어


Balada 인젝터로부터 워드프레스 사이트
를 보호하는 것이 가장 중요합니다. 다음은 방어를 강화하는 단계입니다:

  1. 태그디비 컴포저를 업데이트합니다: 태그디비 컴포저 플러그인이 최소 버전 4.2 이상으로 업데이트되었는지 확인하세요. 이 업데이트는 발라다 인젝터가 표적으로 삼은 취약점을 해결합니다.
  2. 테마 및 플러그인을 최신 상태로 유지하세요: 워드프레스 사이트의 모든 테마와 플러그인을 정기적으로 업데이트하세요. 개발자는 종종 취약점을 패치하고 보안을 강화하는 업데이트를 출시합니다.
  3. 휴면 사용자 계정 삭제하기: 사용자 계정을 살펴보고 더 이상 활성화되어 있지 않거나 필요하지 않은 계정을 제거하세요. 공격자의 잠재적 진입 지점을 줄이는 것은 현명한 예방책입니다.
  4. 숨겨진 백도어를 검사하세요: 웹사이트 파일에 숨겨진 백도어나 악성 코드가 있는지 정기적으로 검사하세요. 이 점에서 보안 플러그인이 유용할 수 있습니다.


결론


최근 17,000개 이상의 워드프레스 웹사이트에 대한 발라다 인젝터의 공격은 디지털 환경에 상존하는 위협을 극명하게 보여주는 사례입니다.
워드프레스 취약성 완화 는 안전하고 탄력적인 안전하고 탄력적인 웹사이트 유지. 최신 정보를 파악하고 경계를 늦추지 않으며 온라인 자산을 보호하기 위한 선제적 조치를 취하는 것은 우리의 책임입니다.

구현하기 웹사이트 보안 모범 사례 을 구현하는 것은 온라인 활동을 보호하는 데 필수적입니다. 권장 보안 조치에 따라 권장 보안 조치 를 따르고 최신 개발 사항을 최신 상태로 유지하면 Balada Injector 및 기타 사이버 보안 위협으로 인한 위험을 완화할 수 있습니다. 웹사이트의 안전과 방문자의 신뢰가 여기에 달려 있습니다!

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스SC 미디어.

 

요약
발라다 인젝터 워드프레스 절충안
기사 이름
발라다 인젝터 워드프레스 절충안
설명
최신 Balada Injector 워드프레스 취약점을 알아보고 Balada Injector로부터 워드프레스 사이트를 보호하는 방법을 알아보세요. 경계를 늦추지 마세요.
작성자
게시자 이름
턱시도 관리
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기