Erkennung der Balada-Injector-Malware-Kampagne: Hacker nutzen eine Schwachstelle im tagDiv Composer aus und infizieren Tausende von WordPress-Seiten
Inhaltsverzeichnis:
Vor über einem Monat warnten Verteidiger die Peer-Community vor CVE-2023-4634, einer kritischen WordPress-Sicherheitslücke, die aktiv in freier Wildbahn ausgenutzt wird und eine überwältigende Anzahl von WordPress-Seiten weltweit betrifft. Nach dieser Kampagne tritt eine weitere bösartige Operation in den Vordergrund. Ein neuer Schub in der langanhaltenden Balada-Injector-Malware-Kampagne hat bereits über 17.000 WordPress-Websites betroffen, von denen mehr als die Hälfte der Ausnutzung der tagDiv-Composer-Sicherheitslücke, bekannt als CVE-2023-3169, ausgesetzt ist. Da über 45 % aller Websites im Internet auf WordPress basieren, ist es für Sicherheitsteams unerlässlich, identifizierte Sicherheitslücken in den beliebten CMS-Plugins und -Themen umgehend zu beheben.
Erkennung der Balada Injector Malware-Kampagne unter Ausnutzung einer tagDiv-Composer-Sicherheitslücke
Die zunehmende Menge an entdeckten Sicherheitslücken in populärer Software, die von Tausenden von Benutzern und Millionen von Websites genutzt werden, kann eine alarmierende Bedrohung für die Verteidigung von Organisationen bei Ausnutzung von Schwachstellen darstellen. Um Sicherheitsteams zu helfen, einen Schritt voraus zu sein, kuratiert SOC Prime eine neue Sigma-Regel, um die neueste Balada-Injector-Malware-Kampagne zu erkennen, die die tagDiv-Composer-Sicherheitslücke ausnutzt. Folgen Sie dem unten stehenden Link, um die relevante Sigma-Regel für die Erkennung des CVE-2023-3169-Exploits zu erhalten und den Code automatisch in eines der 18 SIEM-, EDR-, XDR- oder Data-Lake-Sprachenformate zu konvertieren:
Die von unserem produktiven Threat-Bounty-Entwickler geschriebene Erkennung, Aung Kyaw Min Naing, ist dem MITRE ATT&CK Framework zugeordnet und adressiert die Taktik des Initial Access mit der Technik Exploit Public-Facing Application (T1190) als entsprechende Technik. Greifen Sie auf SOC Primes Crowdsourcing-Programm für Detection-Engineering zu, um Ihre Sigma- und ATT&CK-Fähigkeiten zu schärfen und Ihre Karriere voranzutreiben, indem Sie Ihren eigenen Erkennungscode erstellen und mit Branchenkollegen teilen.
Klicken Sie Erkennungen erkunden für weitere CTI-angereicherte Sigma-Regeln, um die lang anhaltende Balada Injector Malware-Kampagne proaktiv zu erkennen, die potenziell Tausende von WordPress-Websites gefährlichen Eindringlingen aussetzt.
Balada Malware-Analyse: Eine permanente Kampagne unter Verwendung der Stored XSS-Sicherheitslücke im tagDiv-Composer
Eine neue Welle von langanhaltenden Balada Injector-Operationen hat über 17.000 WordPress-Seiten betroffen. Seit über einem halben Jahrzehnt hat diese offensive Kampagne die Bedrohungslandschaft durch die Waffenung von Theme- und Plugin-Sicherheitslücken verändert.
Balada Injector-Angriffe wurden erstmals Ende 2022 bekannt, als sie mehrere Exploits für das populäre WordPress-Plugin sowie Theme-Sicherheitslücken ausnutzten, um eine Linux-basierte Hintertür als Teil von Cyberkriminalität einzusetzen.
In der aktuellen Kampagne nutzen Angreifer die Cross-Site-Scripting (XSS)-Sicherheitslücke im tagDiv-Composer aus, die als CVE-2023-3169verfolgt wird, welches ein Begleitwerkzeug für tagDivs Newspaper- und Newsmag-Themen ist. Laut der WordPress-Plugin-Beratung zu Sicherheitsanfälligkeitenkönnen erfolgreiche Ausnutzungsversuche zu XSS-Angriffen führen. Die aktuellste Kampagne datiert auf Mitte September, kurz nachdem die Details zu CVE-2023-3169 in der WordPress-Sicherheitsberatung herausgegeben und die PoC veröffentlicht wurde. Bemerkenswerterweise deckt eine neue Sucuri-Forschung einen früheren Vorfall im Sommer 2017 auf, als Balada-Injector-Betreiber aktiv Sicherheitslücken in den WordPress-Themen Newspaper und Newsmag ausnutzten, um die anvisierten Systeme zu kompromittieren.
Ein identifizierender Hinweis auf die CVE-2023-3169-Ausnutzung ist das Vorhandensein eines schädlichen Skripts, das in bestimmte Tags injiziert wird, während die verschleierte Injektion selbst in der „wp_options“-Tabelle der WordPress-Datenbank gefunden werden kann. Sucuri erklärt, dass Gegner seit langem anstreben, persistenten Zugriff auf betroffene Geräte zu erlangen, indem sie Hintertüren pflanzen, bewaffnete Plugins bereitstellen und betrügerische WordPress-Admin-Benutzer erstellen. In der aktuellen Kampagne experimentieren Hacker mit neuen offensiven Techniken und Werkzeugen und ändern gleichzeitig ihre injizierten Skripte, indem sie gleichzeitig auf verschiedene Domänen und Subdomänen zugreifen, CloudFlare nutzen und Admin-Konten auf unterschiedliche Weisen angreifen.
Um Ihre Infrastruktur rechtzeitig zu schützen, empfehlen Verteidiger, das tagDiv-Composer-Plugin auf v4.2 zu aktualisieren, da in dieser Version die entdeckte XSS-Sicherheitslücke vollständig behoben ist. Stellen Sie außerdem sicher, dass alle Ihre WordPress-Themen und -Plugins auf dem neuesten Stand gehalten werden, inaktive Benutzerkonten gelöscht und kontinuierliche Scans auf mögliche Balada-Injector-Malware-Präsenz durchgeführt werden.
Mit der sich ständig verändernden Angriffsfläche Schritt zu halten, befeuert die Notwendigkeit zur Stärkung der Detection-Engineering- und Hunting-Fähigkeiten. Versuchen Sie Uncoder AI, eine ultimative IDE für Detection-Engineering, um Ihre Regelgenerierung und -validierung mit automatisierten Syntax- und Logikprüfungen zu optimieren, Ihren Code mit maßgeschneiderter Intelligenz zu bereichern und IOCs automatisch in benutzerdefinierte Suchanfragen für retrospektive Suchen direkt in Ihrem SIEM- oder XDR-Umfeld zu parsen.
Â
