9月超1.7万WordPress网站感染Balada注入

Sucuri研究人员报告说，超过17000个WordPress网站在9月份遭到Balada注入攻击。研究人员注意到，与8月份相比，Balada注入感染的数量翻了一番。

Balada注入器是一个恶意软件家族，自2017年以来一直活跃。该恶意软件支持多种攻击媒介和持久性机制。恶意代码于 2022 年 12 月由 AV 公司 Doctor Web 首次发现。

“Doctor Web发现了一个恶意Linux程序，该程序基于WordPress CMS入侵网站。它利用了该平台的许多插件和主题中的30个漏洞。如果网站使用此类附加组件的过时版本，缺乏关键修复，则目标网页会注入恶意JavaScript。“因此，当用户点击受攻击页面的任何区域时，他们会被重定向到其他网站。

Sucuri 指出，在最近的攻击中，威胁行为者针对的是易受攻击的 tagDiv 的高级主题。专家们利用报纸主题漏洞中的漏洞发现了9000多个感染了Balada注入器的网站。

“我们观察到对他们注入的脚本进行修改以及新技术和方法的快速循环。我们看到了随机注入和混淆类型，同时使用多个域和子域，滥用CloudFlare以及多种攻击受感染WordPress站点管理员的方法。“对于 tagDiv 报纸主题的数千名用户来说，九月也是一个非常具有挑战性的月份。Balada Injector恶意软件活动针对tagDiv Composer插件中的漏洞和已受感染站点的博客管理员执行了一系列攻击。

在最近的活动中，威胁参与者利用了 tagDiv Composer 中的跨站点脚本 （XSS） 漏洞，该漏洞被跟踪为 CVE-2023-3169。“混淆注入本身可以在WordPress数据库wp_options表的”td_live_css_local_storage“选项中找到。

研究人员观察到了几波攻击波，其中一些攻击，恶意脚本是通过stay.decentralappps.com注入。这种注入的第一个变异在4000多个站点上检测到，而第二个变异在另外1000 多个个站点上检测到。

在另一波浪潮中，观察到威胁行为者使用恶意脚本创建流氓WordPress管理员帐户。在第一次攻击中，威胁行为者使用用户名“greeceman”，但后来开始使用基于站点主机名自动生成的用户名。

在其他攻击中，威胁行为者在报纸主题的 404.php 文件中植入了后门。然后攻击者切换到wp-zexit插件安装，并在网站的Ajax界面中隐藏了后门。2023 年 9 月 21 日，Balada 注入器运营者在 7 秒内注册了三个新域名。

在其他攻击中，专家观察到tdw-css占位符中的随机注入，最近的感染解码脚本试图从三个新Balada域的多个不同子域上的不同URL加载下一阶段的恶意软件。

研究人员建议管理员将tagDiv Composer插件升级到版本4.2或更高版本，以解决上述漏洞。

其他建议包括保持WordPress组件（主题和插件）更新，删除休眠用户帐户以及扫描文件以查找隐藏的后门。

声明：内容来源securityaffairs，沃通翻译转载，版权归作者所有，转载目的在于传递更多资讯。如有侵权，请联系本站处理。