The Hacker News 에 따르면, 최근 공개된 WordPress 플랫폼의 tagDiv Composer 플러그인의 보안 취약점으로 인해 최대 9,000개의 웹사이트가 손상되었습니다. 이 버그로 인해 해커는 인증 없이 웹 애플리케이션 소스 코드에 악성 코드를 삽입할 수 있습니다.

Sucuri 보안 연구원들은 Balada Injector 그룹이 tagDiv 테마의 취약점을 표적으로 삼은 것은 이번이 처음이 아니라고 말했습니다. 가장 큰 맬웨어 감염은 2017년 여름에 발생했는데, 해커들이 인기 있는 WordPress 테마인 Newspaper와 Newsmag를 적극적으로 악용했습니다.

발라다 인젝터는 2022년 12월 닥터웹이 처음 탐지한 대규모 작전으로, 이 그룹은 여러 워드프레스 플러그인 취약점을 악용해 손상된 시스템에 백도어를 배포했습니다.

이러한 활동의 ​​주요 목적은 감염된 웹사이트를 방문하는 사용자를 가짜 기술 지원 페이지, 복권 당첨금, 사기 메시지로 유도하는 것입니다. 2017년 이후 100만 개가 넘는 웹사이트가 Balada Injector의 영향을 받았습니다.

주요 작전에는 CVE-2023-3169 취약점을 악용하여 악성 코드를 주입하고 백도어를 설치하고 악성 플러그인을 추가하며 웹사이트를 제어하는 ​​관리자를 생성하여 웹사이트에 대한 액세스를 구축하는 것이 포함되었습니다.

Sucuri는 이를 ZIP 아카이브에서 플러그인 설치 프로세스를 모방하고 활성화하는 자동화된 프로그램이 수행하는 보다 복잡한 공격 중 하나로 설명합니다. 2023년 9월 말에 관찰된 일련의 공격은 무작위 코드 주입을 사용하여 원격 서버에서 맬웨어를 다운로드하고 실행하여 대상 WordPress 웹사이트에 wp-zexit 플러그인을 설치하는 방식을 사용했습니다.