Более миллиона сайтов на WordPress заражены Balada Injector

По оценкам ИБ-экспертов, около миллиона сайтов на WordPress скомпрометированы в результате вредоносной кампании, длящейся с 2017 года. Атакующие используют «все известные и недавно обнаруженные уязвимости в темах и плагинах» для внедрения на сайты Linux-бэкдоров Balada Injector.

Аналитики Sucuri рассказывают, что первыми Balada Injector заметили специалисты компании «Доктор Веб», которые сообщали в декабре прошлого года, что малварь для WordPress использует более 30 различных уязвимостей в ряде плагинов и тем оформления.

Атаки Balada Injector происходят волнами, примерно раз в месяц, и каждая из них использует только что зарегистрированное доменное имя, чтобы обойти черные списки. В своих атаках малварь задействует в основном недавно обнаруженные уязвимости, а операторы Balada Injector создают кастомные процедуры атак, выстраивая их вокруг конкретной проблемы. Так, исследователи наблюдали атаки на siteurl, HTML-инъекции, инъекции в БД и инъекции произвольных файлов.

Список атакуемых плагинов
Разные векторы атак нередко приводят к повторному заражению уже взломанных ранее сайтов. Sucuri описывает случай, когда сайт подвергся 311 атакам с использованием 11 различных версий Balada Injector.

Типичный инжект Balada Injector
После успешной атаки скрипты вредоноса сосредотачиваются на краже конфиденциальной информации, включая учетные данные БД и файлы wp-config.php. Поэтому даже если владелец сайта устраняет последствия атаки и патчит уязвимые плагины, хакеры сохраняют доступ к ресурсу.

Также вредонос ищет на зараженном сайте резервные копии и базы данных, журналы доступа, отладочную информацию и файлы, которые могут содержать конфиденциальную информацию. Злоумышленник часто обновляют списки таких целевых файлов.

Помимо этого малварь интересуют инструменты для администрирования баз данных, включая Adminer и phpMyAdmin. Если они уязвимы или настроены неправильно, их можно использовать для создания новых пользователей-администраторов, извлечения информации или внедрения устойчивого вредоносного ПО в БД ресурса.

Если же перечисленные простые пути взлома недоступны, операторы малвари прибегают к брутфорсу пароля администратора, пробуя набор из 74 учетных данных.

Balada Injector размещает на скомпрометированных сайтах несколько бэкдоров, которые действуют как скрытые точки доступа для хакеров. По данным исследователей, в какой-то момент в 2020 году вредонос распределял бэкдоры, используя 176 заранее заданных путей, из-за чего устранение заражения становилось крайне сложным. Более того, названия установленных бэкдоров менялись в каждой новой волне, чтобы дополнительно затруднить обнаружение и очистку пострадавших сайтов.



Исследователи говорят, что инжекторы Balada присутствуют не на каждом взломанном сайте, поскольку управлять таким большим количеством клиентов непросто. Они считают, что хакеры загружают малварь на сайты, «размещенные на частных или виртуальных частных серверах, которые не управляются нормально или выглядят запущенными».

После этого инжекторы ищут сайты, связанные с этой же учетной записью на сервере с такими же разрешениями на доступ к файлам, находят каталоги, доступные для записи, начиная с более высокопривилегированных, и выполняют межсайтовое заражение. Такой подход позволяет легко компрометировать несколько сайтов за раз и быстро распространять бэкдоры при минимальном количестве инжектов.

Кроме того, межсайтовое заражение позволяет атакующим многократно заражать уже «очищенные» сайты, пока у них сохраняется доступ к VPS.

Sucuri отмечает, что защита от атак Balada Injector может отличаться в зависимости от конкретного случая, а из-за разнообразия векторов атак не существует единого набора инструкций, которым администраторы могли бы следовать для защиты.

11.04.2023
https://xakep.ru/2023/04/11/balada-injector/​

 

Если вы подозреваете, что ваш сайт WordPress или любой другой сайт заражен Balada Injector или любым другим вредоносным ПО, важно принять немедленные меры для решения проблемы. Вот некоторые общие шаги, которые вы можете предпринять:

Обновите WordPress и плагины: Убедитесь, что ваша установка WordPress, темы и плагины обновлены. Вредоносные программы часто используют уязвимости в устаревшем программном обеспечении, поэтому обновление всего необходимого поможет защитить ваш сайт.

Сканируйте на наличие вредоносных программ: Используйте надежный инструмент для сканирования файлов вашего сайта на наличие вредоносного кода. Существует множество плагинов для WordPress и онлайн-сервисов, которые помогут вам проверить сайт на наличие вредоносных программ и выявить все зараженные файлы.

Удалите зараженные файлы: Если вредоносное ПО обнаружено, удалите зараженные файлы с вашего сайта. Это может включать удаление или замену зараженных файлов чистыми резервными копиями.

Смените пароли: Измените все пароли, связанные с вашим сайтом, включая пароль администратора WordPress, пароль FTP и любые другие учетные записи пользователей, имеющих доступ к вашему сайту. Используйте надежные, уникальные пароли, чтобы свести к минимуму риск дальнейших атак.

Усильте безопасность сайта: Примите меры по укреплению безопасности вашего сайта WordPress, например, внедрите двухфакторную аутентификацию, используйте безопасные разрешения на файлы и ограничьте доступ к важным файлам и каталогам.

Создавайте резервные копии сайта: Регулярно создавайте резервные копии файлов и базы данных сайта и храните их в безопасном месте за пределами сайта. Это позволит вам быстро восстановить сайт, если в будущем он будет заражен.

Обращайтесь за профессиональной помощью: Если вы не уверены в своих силах очистить сайт от вредоносных программ и обеспечить его безопасность, обратитесь за помощью к профессиональному веб-разработчику или эксперту по безопасности, специализирующемуся на безопасности WordPress.

Профилактика является ключевым моментом в обеспечении безопасности веб-сайта. Обновление установки WordPress и плагинов, использование надежных паролей и другие меры безопасности помогут снизить риск заражения вашего сайта вредоносным ПО типа Balada Injector или любым другим видом вредоносного кода. Регулярный мониторинг и сканирование на наличие вредоносных программ также помогут вам обнаружить любые потенциальные инфекции на ранней стадии и принять соответствующие меры.