Balada injektor

Turvauurijate sõnul on käimasolev ründekampaania, mis edastab Balada Injectorina jälgitud pahavara, suutnud nakatada üle miljoni WordPressi veebisaidi. Arvatakse, et pahatahtlik operatsioon on olnud aktiivne vähemalt 2017. aastast. Küberkurjategijad kasutavad WordPressi teemade ja pistikprogrammide teadaolevate ja äsja avastatud turvaaukude ärakasutamiseks laia valikut erinevaid tehnikaid, võimaldades neil pääseda ligi sihitud veebisaitidele.

Turvafirma Sucuri avaldatud Balada Injectorit kirjeldavas raportis öeldakse, et uued rünnakulained leiavad aset iga paari nädala tagant. Sellel konkreetsel pahatahtlikul tegevusel on mitmeid märke, sealhulgas String.fromCharCode'i hägustamine, halbade skriptide juurutamine äsja registreeritud domeeninimedele ja ümbersuunamised erinevatele petusaitidele. Nakatunud veebisaite kasutatakse mitmesugustel petturlikel eesmärkidel, sealhulgas võltstehniliseks toeks, loteriipettusteks ja petturlikeks CAPTCHA-lehtedeks, mis kutsuvad kasutajaid sisse lülitama teatised, et kontrollida, kas nad pole robotid, võimaldades seeläbi ründajatel saata rämpsposti reklaame.

Balada pihusti kasutab ära mitmeid turvanõrkusi

Selle juurutamise aja jooksul on Balada Injectori oht kasutanud rohkem kui 100 domeeni ja erinevaid meetodeid, et kasutada ära tuntud turvanõrkusi, nagu HTML-i süstimine ja saidi URL. Ründajate esmane eesmärk on olnud pääseda juurde wp-config.php faili salvestatud andmebaasi mandaatidele.

Lisaks on rünnakud mõeldud olulistele saidifailidele (nt varukoopiad, andmebaasi tõmmised, logifailid ja veafailid) juurde pääsemiseks ja nende allalaadimiseks. Nad otsivad ka kõiki järelejäänud tööriistu, nagu adminer ja phpmyadmin, mille saidi administraatorid võivad pärast hooldustööde tegemist maha jätta. See annab ründajatele laiema valiku võimalusi veebisaidi ohustamiseks ja tundlike andmete varastamiseks.

Balada injektor tagab küberkurjategijatele tagaukse juurdepääsu

Balada Injectori pahavara suudab genereerida petturlikke WordPressi administraatorkasutajaid, koguda aluseks olevatesse hostidesse salvestatud andmeid ja jätta tagauksed, mis pakuvad süsteemile püsivat juurdepääsu.

Lisaks teostab Balada Injector ulatuslikke otsinguid ohustatud veebisaidi failisüsteemi tipptasemel kataloogides, et tuvastada teistele saitidele kuuluvad kirjutatavad kataloogid. Tavaliselt kuuluvad need saidid samale veebihaldurile ning neil on sama serverikonto ja failiõigused. Seega võib ühe saidi ohustamine pakkuda juurdepääsu mitmele teisele saidile, laiendades rünnakut veelgi.

Kui need meetodid ebaõnnestuvad, arvatakse administraatori parool jõuliselt ära 74 etteantud mandaadi abil. Seda tüüpi rünnete vältimiseks soovitatakse WordPressi kasutajatel tungivalt hoida oma veebisaidi tarkvara ajakohasena, eemaldada kõik kasutamata pistikprogrammid ja teemad ning kasutada oma WordPressi administraatorikontode jaoks tugevaid paroole.