Campaña de Detección de Malware Balada Injector: Hackers Explotan una Vulnerabilidad de tagDiv Composer Infectando Miles de Sitios WordPress
Tabla de contenidos:
Hace más de un mes, los defensores advirtieron a la comunidad de CVE-2023-4634, una vulnerabilidad crítica de WordPress activamente explotada en el entorno salvaje e impactando a un número abrumador de sitios de WordPress en todo el mundo. Tras esa campaña, otra operación maliciosa llega al frente. Un nuevo aumento en la persistente campaña de malware Balada Injector ya ha impactado a más de 17,000 sitios web de WordPress, de los cuales más de la mitad están expuestos a la explotación de la vulnerabilidad del compositor tagDiv conocida como CVE-2023-3169. Como más del 45 % de todos los sitios web en Internet dependen de WordPress, es esencial que los equipos de seguridad aborden con prontitud cualquier vulnerabilidad identificada en los populares plugins y temas de CMS.
Detectar la campaña de malware Balada Injector aprovechando una vulnerabilidad del compositor tagDiv
Los volúmenes crecientes de fallas de seguridad descubiertas en software populares utilizados por miles de usuarios y millones de sitios web pueden ser una amenaza alarmante para la defensa de las organizaciones en caso de explotación de vulnerabilidades. Para ayudar a los equipos de seguridad a mantenerse a la vanguardia, SOC Prime cura una nueva regla Sigma para detectar la última campaña de malware Balada Injector que explota la vulnerabilidad del compositor tagDiv. Siga el enlace a continuación para acceder a la regla Sigma relevante para la detección del exploit CVE-2023-3169 y convertir automáticamente el código a uno de los 18 formatos de lenguaje SIEM, EDR, XDR o Data Lake:
La detección escrita por nuestro prolífico desarrollador de Threat Bounty, Aung Kyaw Min Naing, está mapeada al marco MITRE ATT&CK y aborda la táctica de acceso inicial con la técnica Exploit Public-Facing Application (T1190) como su correspondiente. Ingrese al programa de crowdsourcing de SOC Prime para la ingeniería de detección para perfeccionar habilidades en Sigma y ATT&CK y avanzar en su carrera produciendo su propio código de detección y compartiéndolo con sus colegas de la industria.
Haga clic en Explorar detecciones para más reglas Sigma enriquecidas con CTI para detectar proactivamente la campaña de malware Balada Injector de larga duración, potencialmente exponiendo miles de sitios de WordPress a intrusiones destructivas.
Análisis del malware Balada: Una campaña persistente utilizando la vulnerabilidad XSS almacenada en el compositor tagDiv
Una nueva ola de operaciones de Balada Injector de largo recorrido ha afectado a más de 17,000 sitios de WordPress. Durante más de medio decenio, esta campaña ofensiva ha alterado el panorama de amenazas al usar vulnerabilidades en temas y plugins.
Los ataques de Balada Injector se hicieron notorios a finales de 2022 aprovechando múltiples exploits para el popular plugin de WordPress junto con vulnerabilidades de seguridad en temas para desplegar una puerta trasera basada en Linux como parte de la actividad cibercriminal.
En la campaña actual, los adversarios explotan la vulnerabilidad de scripting entre sitios (XSS) en tagDiv Composer rastreada como CVE-2023-3169, que es una herramienta complementaria usada para los temas Newspaper y Newsmag de tagDiv. Según el asesor de plugins de WordPress sobre vulnerabilidades de seguridad, los intentos exitosos de explotación pueden conducir a ataques XSS. La última campaña data de mediados de septiembre, poco después de emitir los detalles de CVE-2023-3169 en el aviso de seguridad de WordPress y la publicación del PoC. Notablemente, una reciente investigación de Sucuri descubre un incidente anterior en el verano de 2017 cuando los operadores de Balada Injector abusaron activamente de vulnerabilidades en los temas WordPress Newspaper y Newsmag para comprometer los sistemas objetivo.
Un rastro identificatorio de la explotación de CVE-2023-3169 es la presencia de un script dañino inyectado dentro de etiquetas particulares, mientras que la inyección ofuscada en sí misma puede localizarse en la tabla «wp_options» de la base de datos de WordPress. Sucuri dice que los adversarios han estado buscando ganar control persistente sobre dispositivos impactados al implantar puertas traseras, desplegar plugins armados y generar usuarios administradores de WordPress falsos. En la campaña actual, los hackers experimentan con nuevas técnicas y herramientas ofensivas a la vez que cambian sus scripts inyectados, aprovechando diversos dominios y subdominios simultáneamente, utilizando CloudFlare, y apuntando a cuentas administrativas de diversas formas.
Para proteger a tiempo su infraestructura, los defensores recomiendan actualizar el plugin tagDiv Composer a la versión 4.2, ya que en esta versión la falla XSS descubierta está completamente reparada. Además, asegúrese de que todos sus temas y plugins de WordPress estén actualizados, elimine cuentas de usuario inactivas y realice escaneos continuos para detectar la posible presencia de malware Balada Injector.
Mantenerse al día con la superficie de ataque en constante cambio alimenta la necesidad de fortalecer la ingeniería de detección y las capacidades de hunting. Pruebe Uncoder AI, un IDE definitivo para la ingeniería de detección, para agilizar su generación y validación de reglas con comprobaciones automáticas de sintaxis y lógica, enriquecer su código con inteligencia personalizada y analizar automáticamente IOCs en consultas de búsqueda personalizadas para hunts retrospectivos directamente en su entorno SIEM o XDR.
