Eylül 2023'te 17.000'den Fazla WordPress Sitesinin Güvenliği Balada Injector Tarafından Ele Geçirildi - Dünyadan Güncel Teknoloji Haberleri

Eylül 2023'te 17.000'den Fazla WordPress Sitesinin Güvenliği Balada Injector Tarafından Ele Geçirildi - Dünyadan Güncel Teknoloji Haberleri

Sucuri, ZIP arşiv dosyasından bir eklenti yükleme ve onu etkinleştirme sürecinin tamamını taklit ettiği göz önüne alındığında, bunu komut dosyası tarafından gerçekleştirilen “en karmaşık saldırı türlerinden biri” olarak tanımladı

Komut dosyalarının hızla gelişen doğası, web sitelerinin 404 hata sayfalarına rastgele PHP kodu çalıştırabilen bir arka kapı yerleştirme veya alternatif olarak kötü amaçlı bir wp-zexit eklentisi yüklemek için sayfalara gömülü kodu kullanma yetenekleriyle kanıtlanmaktadır


11 Ekim 2023Haber odasıWeb Sitesi Güvenliği / Hacking

Eylül 2023’te 17

Sucuri güvenlik araştırmacısı Denis Sinegubko, “Bu, Balada Injector çetesinin tagDiv’in premium temalarındaki güvenlik açıklarını hedef aldığı ilk sefer değil

Geçmişte, bu komut dosyaları, saldırganın, takip eden saldırılar için kullanabilecekleri yeni yönetici kullanıcıları oluşturmak da dahil olmak üzere, yönetici arayüzü aracılığıyla yükseltilmiş ayrıcalıklarla kötü amaçlı eylemler gerçekleştirmesine izin verdiğinden, oturum açmış WordPress site yöneticilerini hedef alıyordu

Sinegubko, “Bunların ele geçirilen sitelerin dosyalarına yerleştirilmesi, saldırganların bu sefer tagDiv Composer güvenlik açığını kullanmak yerine arka kapılarından ve web sitesi yöneticilerine yönelik başarılı saldırıların ardından yerleştirilen kötü niyetli yönetici kullanıcılarından yararlandığını açıkça gösteriyor

Eklentinin temel işlevi, tehdit aktörleri tarafından uzaktan gönderilen PHP kodunu çalıştıran arka kapıyla aynıdır

Eylül 2023’ün sonlarında gözlemlenen daha yeni saldırı dalgaları, wp-zexit eklentisini yüklemek üzere uzak bir sunucudan ikinci aşama kötü amaçlı yazılım indirip başlatmak için rastgele kod enjeksiyonlarının kullanılmasını gerektiriyor otomatik bir şekilde 000 web sitesine tagDiv Composer eklentisinde yakın zamanda açıklanan bir güvenlik kusuru kullanılarak sızıldığı söyleniyor (CVE-2023-3169CVSS puanı: 6 ”

Balada Injector, ilk olarak Aralık 2022’de Doctor Web tarafından keşfedilen büyük ölçekli bir operasyondur ” dedi

En son ihlal grubu, CVE-2023-3169’un kötü amaçlı bir komut dosyası enjekte etmek ve sonuçta arka kapılar yükleyerek, kötü amaçlı eklentiler ekleyerek ve hileli blog yöneticileri oluşturarak siteler üzerinde kalıcı erişim sağlamak için istismar edilmesini gerektiriyor

Bunlardan 9

Ayrıca, ziyaretçinin çerezlerini aktör tarafından kontrol edilen bir URL’ye ileten ve karşılığında belirtilmemiş bir JavaScript kodu getiren karartılmış komut dosyaları da kullanılır ” söz konusu



siber-2

“Bu kampanyaya atfedebileceğimiz en eski büyük çaplı kötü amaçlı yazılım enjeksiyonlarından biri, Gazete ve Newsmag WordPress temalarında açıklanan güvenlik hatalarının aktif olarak kötüye kullanıldığı 2017 yazında gerçekleşti

Balada Enjektörünün dahil olduğu saldırılar, birkaç haftada bir tekrarlanan aktivite dalgaları şeklinde gerçekleşiyor ve hafta sonu bir dalganın başlamasının ardından Salı günleri enfeksiyonlarda bir artış tespit ediliyor

ana amaç Bu implantın amacı, ele geçirilen sitelerin kullanıcılarını sahte teknik destek sayfalarına, hileli piyango kazançlarına ve anlık bildirim dolandırıcılıklarına yönlendirmektir 000’den fazla WordPress web sitesinin güvenliği, şu bilinen kötü amaçlı yazılımla ele geçirildi: Balada EnjektörAğustos ayındaki tespit sayısının neredeyse iki katı Burada tehdit aktörleri, duyarlı sistemlere bir Linux arka kapısı dağıtmak için çeşitli WordPress eklentisi kusurlarından yararlanır Kampanyadan bir milyondan fazla web sitesi etkilendi 2017’den beri 1) bu olabilir sömürülen Kimliği doğrulanmamış kullanıcılar tarafından depolanan siteler arası komut dosyası çalıştırma (XSS) saldırılar