Detecção da Campanha de Malware Balada Injector: Hackers Exploram Vulnerabilidade no tagDiv Composer Infectando Milhares de Sites WordPress
Índice:
Há mais de um mês, defensores alertaram a comunidade de pares sobre a CVE-2023-4634, uma vulnerabilidade crítica do WordPress ativamente explorada em ambiente em geral, afetando um número esmagador de sites WordPress ao redor do mundo. Após essa campanha, outra operação maliciosa ganha destaque. Uma nova onda na duradoura campanha de malware Balada Injector já impactou mais de 17.000 sites WordPress, com mais da metade deles expostos à exploração da vulnerabilidade do compositor tagDiv conhecida como CVE-2023-3169. Como mais de 45% de todos os sites na Internet dependem do WordPress, é essencial que as equipes de segurança abordem prontamente quaisquer vulnerabilidades identificadas nos populares plugins e temas do CMS.
Detecte a Campanha de Malware Balada Injector Aproveitando uma Vulnerabilidade do Compositor tagDiv
Os volumes crescentes de falhas de segurança descobertas no software popular aproveitadas por milhares de usuários e milhões de sites podem ser uma ameaça alarmante para a defesa das organizações em caso de exploração de vulnerabilidades. Para ajudar as equipes de segurança a se manterem à frente, a SOC Prime organiza uma nova regra Sigma para detectar a última campanha de malware Balada Injector explorando a vulnerabilidade do compositor tagDiv. Siga o link abaixo para acessar a regra Sigma relevante para a detecção de exploração da CVE-2023-3169 e converter automaticamente o código para um dos 18 formatos de linguagem SIEM, EDR, XDR ou Data Lake:
A detecção escrita pelo nosso prolífico Desenvolvedor de Recompensas por Ameaças, Aung Kyaw Min Naing, é mapeada para o framework MITRE ATT&CK e aborda a tática de Acesso Inicial com a técnica de Explorar Aplicação Voltada para o Público (T1190) como sua técnica correspondente. Conecte-se ao programa de crowdsourcing da SOC Prime para engenharia de detecção para aprimorar habilidades Sigma e ATT&CK e avançar na sua carreira produzindo seu próprio código de detecção e compartilhando-o com colegas da indústria.
Clique Explore Detecções para mais regras Sigma enriquecidas com CTI para detectar proativamente a longa campanha de malware Balada Injector que potencialmente expõe milhares de sites WordPress a intrusões destrutivas.
Análise de Malware Balada: Uma Campanha Persistente Usando a Vulnerabilidade XSS Armazenada no Compositor tagDiv
Uma nova onda de operações duradouras do Balada Injector afetou mais de 17.000 sites WordPress. Por mais de meio século, esta campanha ofensiva agitou o cenário das ameaças ao armar bugs de temas e plugins.
Os ataques do Balada Injector foram notados pela primeira vez no final de 2022, utilizando várias explorações para o popular plugin WordPress junto com bugs de segurança de tema para implantar um backdoor baseado em Linux como parte de atividade cibercriminosa.
Na campanha atual, os adversários exploram a vulnerabilidade de cross-site scripting (XSS) no compositor tagDiv rastreada como CVE-2023-3169, que é uma ferramenta acompanhante usada para os temas Newspaper e Newsmag do tagDiv. De acordo com o aviso de plugin WordPress sobre vulnerabilidades de segurança, tentativas bem-sucedidas de exploração podem levar a ataques XSS. A última campanha remonta a meados de setembro, logo após a emissão dos detalhes da CVE-2023-3169 no aviso de segurança do WordPress e a liberação do PoC. Notavelmente, uma pesquisa recente da Sucuri revelou um incidente anterior no verão de 2017, quando operadores de Balada Injector abusaram ativamente de falhas de segurança nos temas WordPress Newspaper e Newsmag para comprometer os sistemas alvo.
Um traço identificador da exploração CVE-2023-3169 é a presença de um script prejudicial injetado em tags específicas, enquanto a própria injeção ofuscada pode ser localizada na tabela “wp_options” do banco de dados WordPress. A Sucuri afirma que os adversários há muito têm se esforçado para obter controle persistente sobre os dispositivos impactados, implantando backdoors, utilizando plugins armados e gerando usuários administradores do WordPress maliciosos. Na campanha atual, hackers experimentam novas técnicas e ferramentas ofensivas ao mesmo tempo que mudam seus scripts injetados, aproveitando domínios e subdomínios diversos simultaneamente, usando CloudFlare de forma armada e visando contas de administrador de várias maneiras.
Para proteger sua infraestrutura a tempo, os defensores recomendam a atualização do plugin Composer tagDiv para a v4.2, já que nesta versão a falha XSS descoberta está totalmente corrigida. Além disso, certifique-se de que todos os seus temas e plugins do WordPress estão atualizados, exclua contas de usuário inativas e realize verificações contínuas para a presença potencial de malware Balada Injector.
Acompanhar a superfície de ataque em constante mudança alimenta a necessidade de fortalecer a engenharia de detecção e capacidades de caça. Experimente o Uncoder AI, uma IDE definitiva para engenharia de detecção, para agilizar a geração e validação de suas regras com verificações automáticas de sintaxe e lógica, enriquecer seu código com inteligência sob medida, e auto-parsear IOCs em consultas de busca personalizadas para caça retrospectiva diretamente em seu ambiente SIEM ou XDR.
