Détection de la Campagne de Malware Balada Injector : Les Hackers Exploitent une Vulnérabilité de tagDiv Composer Infectant des Milliers de Sites WordPress
Table des matières :
Il y a plus d’un mois, les défenseurs ont averti la communauté des pairs de CVE-2023-4634, une vulnérabilité critique de WordPress activement exploitée dans la nature et impactant un nombre écrasant de sites WordPress à travers le monde. Suite à cette campagne, une autre opération malveillante vient au premier plan. Une nouvelle vague de la campagne de malware Balada Injector déjà bien avancée a déjà impacté plus de 17 000 sites WordPress, dont plus de la moitié exposée à l’exploitation de la vulnérabilité du compositeur tagDiv connue sous le nom CVE-2023-3169. Comme plus de 45% de tous les sites Internet dépendent de WordPress, il est essentiel pour les équipes de sécurité de résoudre rapidement toutes les vulnérabilités identifiées dans les plugins et thèmes populaires du CMS.
Détecter la Campagne de Malware Balada Injector Tirant Parti d’une Vulnérabilité du Compositeur tagDiv
Les volumes croissants de failles de sécurité découvertes dans le logiciel populaire utilisé par des milliers d’utilisateurs et des millions de sites web peuvent constituer une menace alarmante pour la défense des organisations en cas d’exploitation des vulnérabilités. Pour aider les équipes de sécurité à rester en avance, SOC Prime sélectionne une nouvelle règle Sigma pour détecter la dernière campagne de malware Balada Injector exploitant la vulnérabilité du compositeur tagDiv. Suivez le lien ci-dessous pour accéder à la règle Sigma pertinente pour la détection de l’exploitation de CVE-2023-3169 et convertissez automatiquement le code dans l’un des 18 formats linguistiques SIEM, EDR, XDR ou Data Lake :
La détection écrite par notre prolifique développeur de Threat Bounty, Aung Kyaw Min Naing, est mappée au cadre MITRE ATT&CK et aborde la tactique d’Initial Access avec la technique Exploit Public-Facing Application (T1190). Profitez de programme de crowdsourcing de SOC Prime pour l’ingénierie de détection pour perfectionner vos compétences en Sigma et ATT&CK et progresser dans votre carrière en produisant votre propre code de détection et le partageant avec vos pairs de l’industrie.
Cliquez Explorez les détections pour plus de règles Sigma enrichies en CTI afin de détecter de manière proactive la campagne de malware Balada Injector de longue durée potentiellement exposant des milliers de sites WordPress à des intrusions destructrices.
Analyse de Malware Balada : Une campagne persistante utilisant la vulnérabilité XSS stockée dans le compositeur tagDiv
Une nouvelle vague d’opérations de Balada Injector de longue durée a affecté plus de 17 000 sites WordPress. Pendant plus d’un demi-siècle, cette campagne offensive a bouleversé le paysage des menaces en utilisant des vulnérabilités de thèmes et plugins.
Les attaques Balada Injector ont d’abord été remarquées à la fin de 2022 en exploitant plusieurs failles pour le plugin WordPress populaire ainsi que les bugs de sécurité des thèmes pour déployer une porte dérobée basée sur Linux dans le cadre d’activités cybercriminelles.
Dans la campagne actuelle, les adversaires exploitent la vulnérabilité de cross-site scripting (XSS) dans le compositeur tagDiv suivie sous CVE-2023-3169, qui est un outil d’accompagnement utilisé pour les thèmes Newspaper et Newsmag de tagDiv. Selon le conseil sur les plugins WordPress concernant les vulnérabilités de sécurité, les tentatives d’exploitation réussies peuvent conduire à des attaques XSS. La dernière campagne remonte à la mi-septembre, peu de temps après la publication des détails de CVE-2023-3169 dans l’avis de sécurité WordPress et la sortie du PoC. Notamment, une recherche récente de Sucuri révèle un incident antérieur survenu à l’été 2017 lorsque les opérateurs de Balada Injector avaient activement exploité des failles de sécurité dans les thèmes WordPress Newspaper et Newsmag pour compromettre les systèmes ciblés.
Une trace distinctive de l’exploitation de CVE-2023-3169 est la présence d’un script malveillant injecté dans des balises particulières, tandis que l’injection obfusquée elle-même peut être située dans la table « wp_options » de la base de données WordPress. Sucuri déclare que les adversaires s’efforcent depuis longtemps d’obtenir un contrôle persistant sur les dispositifs impactés en implantant des portes dérobées, en déployant des plugins armés et en générant des utilisateurs administrateurs WordPress malveillants. Dans la campagne actuelle, les hackers expérimentent des techniques et des outils offensifs nouveaux tout en modifiant leurs scripts injectés, utilisant simultanément diverses domaines et sous-domaines, de manière à armer CloudFlare et cibler les comptes administrateurs de plusieurs manières.
Pour protéger votre infrastructure en temps opportun, les défenseurs recommandent de mettre à jour le plugin tagDiv Composer à la version 4.2, car dans cette version le défaut XSS découvert est complètement corrigé. En outre, assurez-vous que tous vos thèmes et plugins WordPress sont à jour, supprimez les comptes utilisateurs inactifs et effectuez des analyses continues pour détecter la présence potentielle de malware Balada Injector.
Suivre l’évolution constante de la surface d’attaque alimente le besoin de renforcer les capacités d’ingénierie et de chasse aux détections. Essayez Uncoder AI, un IDE ultime pour l’ingénierie de détection, pour rationaliser votre génération et validation de règles avec des vérifications automatiques de syntaxe et de logique, enrichissez votre code avec une intelligence sur mesure, et analysez automatiquement les IOCs en requêtes de recherche personnalisées pour des chasses rétrospectives directement dans votre environnement SIEM ou XDR.
