Rilevamento della Campagna Malware Balada Injector: Hacker sfruttano una Vulnerabilità del tagDiv Composer Infettando Migliaia di Siti WordPress
Indice:
Oltre un mese fa, i difensori hanno avvertito la comunità di CVE-2023-4634, una vulnerabilità critica di WordPress attivamente sfruttata in natura e che colpisce un numero schiacciante di siti WordPress in tutto il mondo. In seguito a quella campagna, un’altra operazione malevola arriva in prima linea. Una nuova ondata della lunga campagna di malware Balada Injector ha già colpito oltre 17.000 siti WordPress, oltre la metà dei quali esposti allo sfruttamento della vulnerabilità del composer tagDiv nota come CVE-2023-3169. Poiché oltre il 45% di tutti i siti web esistenti si affida a WordPress, è essenziale per i team di sicurezza affrontare prontamente qualsiasi vulnerabilità identificata nei popolari plugin e temi CMS.
Rilevare la Campagna Malware Balada Injector Sfruttando una Vulnerabilità del tagDiv Composer
L’aumento dei volumi di falle di sicurezza scoperte nel software popolare utilizzato da migliaia di utenti e milioni di siti web può essere una minaccia allarmante per la difesa delle organizzazioni in caso di sfruttamento delle vulnerabilità. Per aiutare i team di sicurezza a rimanere aggiornati, SOC Prime cura una nuova regola Sigma per rilevare l’ultima campagna di malware Balada Injector che sfrutta la vulnerabilità del composer tagDiv. Segui il link qui sotto per accedere alla regola Sigma pertinente per il rilevamento dello sfruttamento di CVE-2023-3169 e convertire automaticamente il codice in uno dei 18 formati linguistici SIEM, EDR, XDR o Data Lake:
Il rilevamento scritto dal nostro prolifico sviluppatore Threat Bounty, Aung Kyaw Min Naing, è mappato al framework MITRE ATT&CK e affronta la tattica di Accesso Iniziale con la tecnica Sfruttare l’Applicazione Pubblica (T1190) come tecnica corrispondente. Accedi al programma di crowdsourcing SOC Prime per l’ingegneria del rilevamento per affinare le competenze Sigma e ATT&CK e avanzare nella tua carriera producendo il tuo codice di rilevamento e condividendolo con colleghi del settore.
Clicca Esplora Rilevamenti per ulteriori regole Sigma arricchite dal CTI per rilevare proattivamente la campagna di malware Balada Injector ormai di lunga data che potenzialmente espone migliaia di siti WordPress a intrusioni distruttive.
Analisi del Malware Balada: Una Campagna Persistente che Utilizza la Vulnerabilità XSS Conservata nel tagDiv Composer
Una nuova ondata di operazioni di lungo corso del Balada Injector ha colpito oltre 17.000 siti WordPress. Per oltre mezzo decennio, questa campagna offensiva ha scosso il panorama delle minacce sfruttando bug in temi e plugin.
Gli attacchi del Balada Injector sono stati notati per la prima volta alla fine del 2022 sfruttando più exploit per il popolare plugin WordPress insieme a bug di sicurezza nei temi per implementare un backdoor basato su Linux come parte di un’attività cybercriminale.
Nella campagna attuale, gli avversari sfruttano la vulnerabilità cross-site scripting (XSS) nel composer tagDiv tracciata come CVE-2023-3169, che è uno strumento di accompagnamento utilizzato per i temi Newspaper e Newsmag di tagDiv. Secondo il consiglio del plugin WordPress sulle vulnerabilità di sicurezza, i tentativi di sfruttamento riusciti possono condurre ad attacchi XSS. L’ultima campagna risale a metà settembre, poco dopo il rilascio dei dettagli su CVE-2023-3169 nel consiglio di sicurezza di WordPress e il rilascio del PoC. Notabilmente, una ricerca recente di Sucuri rivela un incidente precedente nell’estate del 2017 quando gli operatori del Balada Injector hanno abusato attivamente delle falle di sicurezza nei temi Newspaper e Newsmag di WordPress per compromettere i sistemi presi di mira.
Un segno identificatore dello sfruttamento di CVE-2023-3169 è la presenza di uno script dannoso iniettato all’interno di particolari tag, mentre l’iniezione offuscata stessa può essere trovata nella tabella “wp_options” del database WordPress. Sucuri afferma che gli avversari si sforzano da tempo di ottenere un controllo persistente sui dispositivi colpiti impiantando backdoor, distribuendo plugin armati e generando utenti amministratori WordPress impostori. Nella campagna attuale, gli hacker sperimentano con nuove tecniche e strumenti offensivi cambiando anche i loro script iniettati, sfruttando domini e sottodomini diversi contemporaneamente, armando CloudFlare, e mirando gli account amministrativi in diversi modi.
Per proteggere tempestivamente la tua infrastruttura, i difensori raccomandano di aggiornare il plugin tagDiv Composer alla versione v4.2, poiché in questa versione la falla XSS scoperta è completamente risolta. Inoltre, assicurati che tutti i tuoi temi e plugin WordPress siano mantenuti aggiornati, elimina gli account utente inattivi e esegui scansioni continue per un’eventuale presenza di malware Balada Injector.
Tenere il passo con la superficie d’attacco in costante cambiamento alimenta la necessità di rafforzare le capacità di ingegneria del rilevamento e della caccia. Prova Uncoder AI, un IDE definitivo per l’ingegneria del rilevamento, per semplificare la generazione e la validazione delle regole con controlli automatici di sintassi e logica, arricchire il tuo codice con intelligenza su misura, e auto-parsare gli IOC in query di ricerca personalizzate per cacce retrospettive direttamente nel tuo ambiente SIEM o XDR.
