Balada Injector マルウェアキャンペーンの検出：ハッカーが tagDiv Composer の脆弱性を悪用して数千のWordPressサイトを感染させる

1か月以上前に、防御側はCVE-2023-4634についてピアコミュニティに警告しました。 重大なWordPressの脆弱性 これは、世界中の圧倒的多数のWordPressサイトに影響を与え、野放しで積極的に悪用されています。そのキャンペーンの後、別の悪意のある作戦が前面に出てきます。長期間続いているBalada Injectorマルウェアキャンペーンの新たな勃興が、すでに17,000以上のWordPressサイトに影響を及ぼしており、その半数以上はCVE-2023-3169として知られるtagDiv composerの脆弱性の悪用にさらされています。インターネット上のすべてのウェブサイトの45%以上がWordPressに依存しているため、セキュリティチームは、人気のあるCMSプラグインやテーマで特定された脆弱性に迅速に対処することが重要です。

tagDiv Composerの脆弱性を利用したBalada Injectorマルウェアキャンペーンを検出

何千人ものユーザーと何百万ものウェブサイトで利用されている人気のあるソフトウェアで発見されたセキュリティ欠陥の増加は、脆弱性の悪用の場合、組織の防御に対する警戒すべき脅威になる可能性があります。セキュリティチームが先を行けるように支援するために、SOC PrimeはtagDiv composerの脆弱性を悪用した最新のBalada Injectorマルウェアキャンペーンを検出するための新しいSigmaルールを編成しています。CVE-2023-3169エクスプロイト検出用の関連するSigmaルールにアクセスし、18のSIEM、EDR、XDR、またはデータレイクの言語フォーマットのいずれかに自動変換するには以下のリンクをフォローしてください。

tagDiv Composerにおける認証されていないStored XSS脆弱性を利用してBaladaマルウェアインジェクションキャンペーンを検出（2023年10月）

我々の多作なスレットバウンティ開発者 Aung Kyaw Min Naingによって書かれた検出は、 MITRE ATT&CKフレームワーク にマッピングされており、対応する技術としてExploit Public-Facing Application（T1190）を用いてInitial Accessの戦術を取り上げています。 SOC Primeのクラウドソーシングプログラム を利用して、SigmaとATT&CKのスキルを磨き、検出コードを作成し、業界の仲間と共有することでキャリアを向上させましょう。

クリックして 検出を探索 して、何千ものWordPressサイトを破壊的侵入にさらす可能性のある長期間続いているBalada Injectorマルウェアキャンペーンを積極的に検出するためのCTI強化されたSigmaルールをさらに入手しましょう。

検出を探索

組み込みXSS脆弱性を使用したBaladaマルウェア分析：持続的キャンペーン

長期間続いているBalada Injectorの新たな波が17,000以上のWordPressサイトに影響を与えています。この攻撃的キャンペーンは、テーマやプラグインのバグを武器化することで、半世紀以上にわたり脅威の状況を揺さぶっています。

Balada Injector攻撃は、2022年末に最初に注目され、人気のあるWordPressプラグインの複数のエクスプロイトやテーマのセキュリティバグを利用して、サイバー犯罪活動の一環としてLinuxベースのバックドアを展開しました。

現在のキャンペーンでは、敵対者はtagDiv Composerで追跡されるクロスサイトスクリプティング（XSS）脆弱性を悪用しています。 CVE-2023-3169であり、tagDivのNewspaperおよびNewsmagテーマ用の付属ツールです。によると WordPressプラグインのセキュリティ脆弱性に関するアドバイザリでは、成功したエクスプロイトの試みがXSS攻撃につながる可能性があります。最新のキャンペーンは、WordPressセキュリティアドバイザリでCVE-2023-3169の詳細が発行された直後の9月中旬に始まります。特に、 最近のSucuriの研究 では、Balada InjectorのオペレーターがNewspaperおよびNewsmag WordPressテーマのセキュリティ欠陥を活用してターゲットシステムを侵害していた2017年夏の以前の事件を発見しました。

CVE-2023-3169の悪用を示す識別可能な痕跡は、特定のタグ内に注入された有害なスクリプトの存在であり、曖昧化されたインジェクション自体はWordPressデータベースの”wp_options”テーブルにあります。Sucuriは、バックドアを植え付け、武器化されたプラグインを展開し、不正なWordPress管理ユーザーを生成することで、影響を受けたデバイスに持続的な制御を得ることを敵対者が長い間努めてきたと述べています。現在のキャンペーンでは、ハッカーは新たな攻撃手法とツールを試しながら、同時にさまざまなドメインとサブドメインを活用し、CloudFlareを武器化し、管理者アカウントをいくつかの方法で標的にしています。

インフラをタイムリーに保護するために、防御側はtagDiv Composerプラグインをv4.2に更新することをお勧めします。このバージョンでは、発見されたXSS欠陥が完全に修正されています。さらに、すべてのWordPressテーマとプラグインを常に最新に保ち、非アクティブなユーザーアカウントを削除し、Balada Injectorマルウェアの潜在的な存在を継続的にスキャンしてください。

絶えず変化する攻撃面に対応するためには、検出エンジニアリングの強化とハンティング能力の強化が必要です。 Uncoder AIを試してみてください。これは検出エンジニアリングの究極のIDEであり、自動の構文とロジックチェックを利用してルールの生成と検証を合理化し、特定のインテリジェンスでコードを強化し、IOCをカスタム検索クエリに自動パースしてSIEMまたはXDR環境での遡及的ハントを実行します。