기술 지원
문서
로그인
문의하기
Linux 백도어 멀웨어가 워드프레스 기반 웹사이트를 감염시킵니다.
2023년 1월 9일 TuxCare 홍보팀
닥터웹이 워드프레스 CMS를 기반으로 하는 웹사이트 해킹 툴인 Linux.BackDoor.WordPressExploit.1을 발견했습니다. 워드프레스용 다양한 플러그인과 테마의 30가지 취약점을 이용합니다.
웹사이트가 중요한 수정 사항이 없는 오래된 버전의 애드온을 사용하면 악성 자바스크립트가 표적이 되는 웹페이지에 주입됩니다. 그 결과, 사용자가 공격받은 페이지의 어느 부분을 클릭해도 다른 사이트로 리디렉션됩니다.
이 트로이 목마는 32비트 Linux 버전을 대상으로 설계되었지만 64비트 버전에서도 실행될 수 있습니다. 주요 기능은 워드프레스 콘텐츠 관리 시스템(CMS) 웹사이트를 해킹하여 웹페이지에 악성 자바스크립트를 삽입하는 것입니다. 이 공격은 사이버 범죄자가 악용할 수 있는 취약점이 포함된 오래된 플러그인과 테마를 대상으로 합니다.
대상 플러그인은 다음과 같습니다; WP 라이브 채팅 지원 플러그인, 워드프레스 - 유조 관련 포스트, 옐로우 펜슬 비주얼 테마 커스터마이저 플러그인, 이지스엠티피, WP GDPR 준수 플러그인, 워드프레스 액세스 제어의 신문 테마(취약점 CVE-2016-10972), 팀 코어, 구글 코드 인서터, 총 기부 플러그인, 포스트 맞춤 템플릿 라이트, WP 빠른 예약 관리자, 조타박스 페이스부어 라이브 채팅, 블로그 디자이너 워드프레스 플러그인, 워드프레스 궁극의 FAQ (취약점 CVE-2019-17232 및 CVE-2019-17233), WP-마토모 통합(WP-Piwik), 비주얼 컴포저용 워드프레스 ND 단축 코드, WP 라이브 채팅, 출시 예정 페이지 및 유지 보수 모드, 하이브리드, 브리지 워드프레스 플러그인, FV 플로우플레이어 비디오 플레이어, 우커머스, 워드프레스 출시 예정 페이지, 워드프레스 테마 원톤, 심플 필드 워드프레스 플러그인, 워드프레스 델럭스 SEO 플러그인, 여론 조사, 설문 조사, 양식 및 퀴즈 메이커 OpinionStage, 소셜 메트릭 트래커, WPeMatico RSS 피드 페쳐 및 리치 리뷰.
2022년 12월 30일에 게시된 닥터웹 게시물에서 "사이트가 중요한 수정 사항이 없는 오래된 버전의 애드온을 사용하는 경우, 표적이 된 웹페이지에 악성 자바스크립트가 주입됩니다."라고 명시되어 있습니다.
사용자가 악용된 워드프레스 페이지에 액세스하려고 하면 다른 사이트로 리디렉션됩니다. 공격자는 피싱, 멀웨어 배포 또는 기타 악의적인 활동에 사용될 수 있는 대상 사이트를 선택합니다.
이러한 리디렉션은 피싱, 멀웨어 배포, 멀버타이징 캠페인에서 탐지되지 않고 차단되는 데 사용될 수 있습니다. 그러나 자동 인젝터 운영자가 다른 사이버 범죄자에게 서비스를 판매할 수도 있습니다.
백도어는 앞서 언급한 오래된 워드프레스 플러그인 및 테마의 알려진 취약점을 악용하여 이러한 공격을 실행합니다. 악의적인 공격자는 원격 서버에서 유해한 자바스크립트를 사용하여 원격으로 제어할 수 있습니다.
Web은 이 주제에 대한 게시물에서 이러한 변종에 대해 "알려진 로그인 및 비밀번호를 적용하고 특수 어휘를 사용하여 무차별 대입 공격을 통해 표적 웹사이트의 관리자 계정을 해킹하는 구현되지 않은 기능이 포함되어 있다"고 밝혔습니다. 또한 이 백도어 멀웨어의 향후 버전에서 이 기능이 구현되면 취약점이 패치된 플러그인도 성공적으로 익스플로잇할 수 있습니다.
악의적인 공격자는 트로이 목마를 원격으로 제어하고 명령 및 제어(C&C) 서버를 통해 감염시킬 웹사이트의 주소를 전달합니다. 또한 위협 행위자는 원격으로 멀웨어를 비활성화하고, 종료하고, 동작 로깅을 중지할 수 있습니다.
웹 박사는 또한 웹사이트 관리자 계정에 대한 무차별 대입 공격을 가능하게 하는 유휴 기능이 포함되어 있다고 언급했습니다.
이 위협을 방어하려면 워드프레스 웹사이트 관리자는 사이트에서 실행 중인 테마와 플러그인을 사용 가능한 최신 버전으로 업데이트하고 더 이상 개발되지 않는 테마는 지원되는 대체 테마로 교체해야 합니다.
이 글의 출처는 BleepingComputer의 기사입니다.
유튜브 채널에서 이 뉴스를 시청하세요: https://www.youtube.com/watch?v=S-KO8QIcdIk
