발라다 인젝터

보안 연구원에 따르면 Balada 인젝터로 추적되는 악성코드를 전달하는 지속적인 공격 캠페인이 100만 개 이상의 WordPress 웹사이트를 감염시키는 데 성공했습니다. 이 악의적인 작업은 적어도 2017년부터 활성화된 것으로 보입니다. 사이버 범죄자는 다양한 기술을 사용하여 WordPress 테마 및 플러그인에서 알려진 취약점과 새로 발견된 취약점을 악용하여 대상 웹 사이트에 대한 액세스 권한을 얻습니다.

보안 회사인 Sucuri가 발표한 Balada Injector에 대한 자세한 보고서에는 새로운 공격 물결이 2주마다 발생한다고 나와 있습니다. String.fromCharCode 난독화 사용, 새로 등록된 도메인 이름에 악성 스크립트 배포, 다양한 사기 사이트로 리디렉션 등 특정 악의적 활동에 대한 몇 가지 서명 징후가 있습니다. 감염된 웹사이트는 가짜 기술 지원, 복권 사기, 사용자가 로봇이 아님을 확인하기 위해 알림을 켜도록 촉구하는 악성 CAPTCHA 페이지를 포함하여 다양한 사기 목적으로 사용되어 공격자가 스팸 광고를 보낼 수 있습니다.

수많은 보안 취약점을 악용하는 Balada 인젝터

배포된 기간 동안 Balada Injector 위협은 100개 이상의 도메인과 다양한 방법을 활용하여 HTML 삽입 및 사이트 URL과 같은 잘 알려진 보안 약점을 악용했습니다. 공격자의 주요 목표는 wp-config.php 파일에 저장된 데이터베이스 자격 증명에 대한 액세스 권한을 얻는 것입니다.

또한 공격은 백업, 데이터베이스 덤프, 로그 파일 및 오류 파일과 같은 중요한 사이트 파일에 액세스하고 다운로드하도록 설계되었습니다. 또한 사이트 관리자가 유지 관리 작업을 수행한 후 남겨두었을 수 있는 관리자 및 phpmyadmin과 같은 남은 도구를 검색합니다. 이것은 공격자에게 웹 사이트를 손상시키고 중요한 데이터를 훔칠 수 있는 더 광범위한 옵션을 제공합니다.

Balada 인젝터는 사이버 범죄자에게 백도어 액세스를 제공합니다.

Balada Injector 맬웨어는 사기성 WordPress 관리 사용자를 생성하고, 기본 호스트에 저장된 데이터를 수집하고, 시스템에 대한 지속적인 액세스를 제공하는 백도어를 남길 수 있는 기능이 있습니다.

또한 Balada Injector는 손상된 웹사이트 파일 시스템의 최상위 디렉터리에서 광범위한 검색을 수행하여 다른 사이트에 속하는 쓰기 가능한 디렉터리를 식별합니다. 일반적으로 이러한 사이트는 동일한 웹마스터가 소유하며 동일한 서버 계정 및 파일 권한을 공유합니다. 따라서 한 사이트를 손상시키면 잠재적으로 다른 여러 사이트에 대한 액세스를 제공하여 공격을 더욱 확장할 수 있습니다.

이러한 방법이 실패하면 74개의 미리 결정된 자격 증명 집합을 통해 관리자 암호를 강제로 추측합니다. 이러한 유형의 공격을 방지하기 위해 WordPress 사용자는 웹사이트 소프트웨어를 최신 상태로 유지하고, 사용하지 않는 플러그인과 테마를 제거하고, WordPress 관리자 계정에 강력한 암호를 사용하는 것이 좋습니다.