Balada 인젝터 멀웨어 캠페인 탐지: 해커들이 수천 개의 워드프레스 사이트를 감염시키기 위해 tagDiv Composer 취약점을 악용

한 달 전, 방어자들이 CVE-2023-4634에 대한 피어 커뮤니티에 경고했습니다. 심각한 WordPress 취약점 이미 전 세계의 엄청난 수의 WordPress 사이트에 영향을 미치고 있는 활성적으로 악용되고 있는 상황입니다. 그 캠페인에 이어 또 다른 악의적인 작업이 전면에 등장했습니다. 지속적인 Balada Injector 멀웨어 캠페인의 새로운 급증이 이미 17,000개 이상의 WordPress 웹사이트에 영향을 미쳤으며, 그중 절반 이상이 CVE-2023-3169라고 알려진 tagDiv composer 취약점의 악용에 노출되었습니다. 인터넷 전체 웹사이트의 45% 이상이 WordPress에 의존하기 때문에, 인기 있는 CMS 플러그인과 테마에서 식별된 취약점을 신속하게 해결하는 것이 보안 팀에게 필수적입니다.

tagDiv Composer 취약점을 활용한 Balada Injector 멀웨어 캠페인 탐지

수천 명의 사용자와 수백만 개의 웹사이트가 사용하는 인기 소프트웨어에서 발견된 보안 결함의 증가 추세는 조직의 방어에 있어 취약점 악용의 경우 심각한 위협이 될 수 있습니다. 보안 팀이 최신 Balada Injector 멀웨어 캠페인을 탐지할 수 있도록 SOC Prime은 새로운 Sigma 규칙을 큐레이션하여 tagDiv composer 취약점을 악용하는 캠페인을 탐지합니다. CVE-2023-3169 익스플로잇 탐지를 위한 관련 Sigma 규칙에 접근하려면 아래 링크를 따르십시오. 코드를 18개의 SIEM, EDR, XDR 또는 데이터 레이크 언어 형식 중 하나로 자동 변환하십시오.

웹서버를 통한 tagDiv Composer의 인증되지 않은 저장 XSS 취약점을 사용하여 Balada 멀웨어 주입 캠페인 탐지 (2023년 10월)

우리의 뛰어난 Threat Bounty Developer가 작성한 탐지는 Aung Kyaw Min Naing에 의해 MITRE ATT&CK 프레임워크로 매핑되며 공개 접근 애플리케이션 악용(T1190)을 해당 기술로 하는 초기 액세스 전술을 다룹니다. SOC Prime의 크라우드소싱 프로그램 에 참여하여 Sigma 및 ATT&CK 기술을 연마하고, 자신의 탐지 코드를 생성하여 업계 동료와 공유함으로써 경력을 발전시키십시오.

클릭 탐지 탐색 으로 장기적으로 운영 중인 Balada Injector 멀웨어 캠페인을 사전적으로 탐지하기 위한 더욱 CTI로 강화된 Sigma 규칙을 알아보십시오. 이는 수천 개의 WordPress 사이트를 파괴적인 침입에 노출할 수 있습니다.

탐지 탐색

Balada 멀웨어 분석: tagDiv Composer의 저장된 XSS 취약점을 사용하는 지속적인 캠페인

장기적으로 운영 중인 Balada Injector 작업의 새로운 물결이 17,000개 이상의 WordPress 사이트에 영향을 미쳤습니다. 이 공격 캠페인은 5년 이상 동안 테마 및 플러그인 결함을 무기로 사용하여 위협 환경을 흔들어 놓았습니다.

Balada Injector 공격은 2022년 말에 처음으로 주목을 받았으며, 여러 WordPress 플러그인의 익스플로잇과 함께 테마 보안 결함을 활용하여 사이버 범죄 활동의 일환으로 리눅스 기반 백도어를 배포합니다.

현재 캠페인에서는 상대방이 tagDiv Composer에서 크로스 사이트 스크립팅(XSS) 취약점을 악용하며 CVE-2023-3169으로 추적됩니다. 이는 tagDiv의 Newspaper 및 Newsmag 테마에 사용되는 보조 도구입니다. WordPress 플러그인의 보안 취약성 고문에 따르면성공적인 악용 시도가 XSS 공격으로 이어질 수 있습니다. 최신 캠페인은 WordPress 보안 자문에서 CVE-2023-3169 세부 사항을 발표하고 PoC를 출시한 직후인 9월 중순까지 거슬러 올라갑니다. 주목할 만한 점은 최근 Sucuri 연구 에서는 2017년 여름에 Balada Injector 운영자가 Newspaper 및 Newsmag WordPress 테마의 보안 결함을 악용하여 대상 시스템을 손상시킨 사건을 밝혀냈습니다.

CVE-2023-3169 익스플로잇의 식별 가능 흔적은 특정 태그 내에 주입된 유해한 스크립트의 존재이며, 모호한 주입 자체는 WordPress 데이터베이스의 “wp_options” 테이블에 위치할 수 있습니다. Sucuri는 상대방들이 백도어를 심고 무기화된 플러그인을 배포하며 악의적인 WordPress 관리자를 생성함으로써 영향을 받은 장치에 대한 지속적인 제어를 얻으려는 노력을 오랫동안 해왔다고 밝힙니다. 현재 캠페인에서는 해커들이 새로운 공격 기술과 도구를 실험하면서 주입된 스크립트를 변경하고, 다양한 도메인과 하위 도메인을 동시에 활용하며, CloudFlare를 무기화하고, 다양한 방식으로 관리자 계정을 공격합니다.

인프라를 제때 보호하기 위해 방어자들은 tagDiv Composer 플러그인을 v4.2로 업데이트할 것을 권장합니다. 이 버전에서는 발견된 XSS 결함이 완전히 패치되었습니다. 더불어, 모든 WordPress 테마와 플러그인을 최신 상태로 유지하고, 비활성 사용자 계정을 삭제하며, 잠재적인 Balada Injector 멀웨어 존재 여부에 대한 지속적인 스캔을 수행해야 합니다.

계속 변화하는 공격 표면에 대처하기 위해 탐지 엔지니어링 및 헌팅 역량을 강화할 필요성이 증가하고 있습니다. Uncoder AI라는 탐지 엔지니어링을 위한 궁극의 IDE를 사용하여 규칙 생성 및 검증을 자동화된 구문 및 논리 검사를 통해 간소화하고, 맞춤형 인텔리전스로 코드를 풍부하게 하며, IOCs를 맞춤형 검색 쿼리로 자동 구문 분석하여 SIEM 또는 XDR 환경에서 직접 레트로스펙티브 헌츠를 수행하십시오.