Złośliwa kampania „Balada Injector” zainfekowała już ponad milion witryn na WordPressie

Według firmy zajmującej się bezpieczeństwem stron internetowych Sucuri, działającej jako oddzielna jednostka biznesowa w GoDaddy, trwająca kampania wykorzystuje „wszystkie znane i niedawno odkryte luki w zabezpieczeniach motywów i wtyczek” w celu wstrzyknięcia linuksowego backdoora na stronach WordPress. Metoda pozwala na uzyskanie różnych poziomów dostępu, a w wielu przypadkach wykorzystane luki dają atakującemu możliwość uzyskania krytycznych informacji na temat zaatakowanych stron internetowych.

Na przestrzeni ostatnich lat podatności i możliwości zdobycia nieuprzywilejowanego dostępu do stron na WordPressie było multum. Staramy się pisać o nich na bieżąco.

Od 2017 roku kampania nieprzerwanie plasuje się w pierwszej trójce infekcji, które Sucuri wykrywa i usuwa z zaatakowanych stron. Kampania co kilka tygodni inicjuje kolejne fale ataków z wykorzystaniem nowo zarejestrowanych domen i odmian wcześniej używanego szkodliwego oprogramowania. Najnowszą falę zaobserwowano zaledwie kilka dni temu, kiedy atakujący wykorzystali lukę w zabezpieczeniach Elementor Pro WordPressa, wtyczki używanej przez ponad 11 milionów stron internetowych!

Denis Sinegubko, starszy badacz złośliwego oprogramowania w firmie GoDaddy, powiedział, że kampanię można łatwo zidentyfikować po preferowaniu zaciemniania String.fromCharCode, wykorzystywaniu nowo zarejestrowanych nazw domen zawierających złośliwe skrypty w losowych subdomenach oraz przekierowaniach do różnych fałszywych stron, w tym rzekomego wsparcia technicznego, fałszywych wygranych na loterii i złośliwych powiadomień push.

Zasięg i obszar działania złośliwej kampanii

„W samym 2022 roku nasz zewnętrzny skaner stron internetowych SiteCheck wykrył to złośliwe oprogramowanie ponad 141 000 razy, przy czym ponad 67% witryn z zablokowanymi zasobami ładowało skrypty ze znanych domen Balada Injector” — napisał Sinegubko pod koniec zeszłego tygodnia. „Obecnie mamy ponad 100 sygnatur obejmujących zarówno front-end, jak i back-end wariantów złośliwego oprogramowania wstrzykiwanego do plików serwera i baz danych WordPress”.

Hakerzy wykorzystują okresy między kolejnymi falami na opracowanie nowych procedur ataków, zwykle poprzez gromadzenie i testowanie nowych luk w zabezpieczeniach. Każda fala używa świeżo zarejestrowanej nazwy domeny, która łączy w sobie losowe angielskie słowa, np. sometimefree[.]biz czy destinyfernandi[.]com.

W ciągu ostatniego roku Balada Injector użyła ponad stu różnych nazw domen i wykorzystała szeroki zakres metod ataków, w tym ataki typu siteurl, wstrzykiwanie HTML, wstrzykiwanie SQL i wstrzykiwanie dowolnych plików, przy czym ataki często obejmowały wiele infekcji w tej samej witrynie. Starsze luki w zabezpieczeniach nie zostały usunięte natychmiast po początkowych rundach infekcji, a niektóre z nich pozostawały w użyciu przez długi czas po opublikowaniu łatek.

Aktywność po infekcji

Skrypty Balady mają na celu kradzież poświadczeń do bazy danych w plikach wp-config.php, co może pozwolić na ciągły dostęp, nawet jeśli właściciel witryny załata wcześniej wykorzystywane luki i usunie pliki backdoora. Aby uniknąć wykrycia, osoby atakujące często zmieniają listę atakowanych plików, dodając nowe i usuwając „niesprawne”.

Jeśli witryna nie została jeszcze zaatakowana, atakujący używają różnych sztuczek, żeby uzyskać zawartość pliku wp-config.php. Jeśli jest już zaatakowana, czytają ją, by zachować dane uwierzytelniające do wykorzystania w przyszłości.

Ponadto kampania próbuje uzyskać dostęp do dowolnych plików witryny, w tym archiwów kopii zapasowych, baz danych, dzienników dostępu, informacji debugowania, jednocześnie polując na narzędzia takie jak Adminer i phpMyAdmin.

Ostatecznie złośliwe oprogramowanie doprowadza do generowania fałszywych administratorów WordPress, kradnących dane z hostów i pozostawiających backdoory w celu zapewnienia dalszego dostępu.