Over 17 000 WordPress-nettsteder hacket i september

Ifølge The Hacker News har opptil 9000 nettsteder blitt kompromittert gjennom et nylig avslørt sikkerhetsproblem i tagDiv Composer-pluginen på WordPress-plattformen. Dette sikkerhetsproblemet lar hackere sette inn skadelig kode i kildekoden til webapplikasjonen uten autentisering.

Sikkerhetsforskere hos Sucuri sier at dette ikke er første gang Balada Injector-gruppen har målrettet seg mot sårbarheter i tagDiv-temaer. En storstilt skadevareinfeksjon oppsto sommeren 2017, da to populære WordPress-temaer, Newspaper og Newsmag, ble aktivt utnyttet av hackere.

Balada Injector er en storstilt operasjon som først ble oppdaget av Doctor Web i desember 2022, der gruppen utnyttet flere sårbarheter i WordPress-plugin-moduler for å distribuere bakdører på kompromitterte systemer.

Hovedformålet med disse aktivitetene er å omdirigere brukere som besøker kompromitterte nettsteder til falske tekniske støttesider, lotterivinnersider og svindelmeldinger. Mer enn 1 million nettsteder har blitt påvirket av Balada Injector siden 2017.

Store operasjoner involverte utnyttelse av CVE-2023-3169-sårbarheten for å injisere skadelig kode og etablere tilgang til nettsteder ved å installere bakdører, legge til skadelige programtillegg og opprette administratorer for å kontrollere nettstedet.

Sucuri beskriver dette som et av de mer sofistikerte angrepene utført av et automatisert program som etterligner installasjonen av en plugin fra et ZIP-arkiv og aktiverer den. Angrepsbølgene som ble observert sent i september 2023 brukte tilfeldig kodeinjeksjon for å laste ned og starte skadelig programvare fra eksterne servere for å installere wp-zexit-pluginen på målrettede WordPress-nettsteder.