เว็บไซต์ WordPress กว่า 17,000 แห่งถูกแฮ็กในเดือนกันยายน

The Hacker News รายงานว่ามีเว็บไซต์มากถึง 9,000 แห่งถูกโจมตีจากช่องโหว่ด้านความปลอดภัยที่เพิ่งเปิดเผยในปลั๊กอิน tagDiv Composer บนแพลตฟอร์ม WordPress ช่องโหว่นี้ทำให้แฮกเกอร์สามารถแทรกโค้ดอันตรายลงในซอร์สโค้ดของเว็บแอปพลิเคชันได้โดยไม่ต้องมีการตรวจสอบสิทธิ์

นักวิจัยด้านความปลอดภัยของ Sucuri กล่าวว่านี่ไม่ใช่ครั้งแรกที่กลุ่ม Balada Injector โจมตีช่องโหว่ในธีม tagDiv การโจมตีด้วยมัลแวร์ขนาดใหญ่เกิดขึ้นในช่วงฤดูร้อนปี 2017 เมื่อธีม WordPress ยอดนิยมสองธีม ได้แก่ Newspaper และ Newsmag ถูกแฮ็กเกอร์นำไปใช้ประโยชน์อย่างจริงจัง

Balada Injector เป็นปฏิบัติการขนาดใหญ่ที่ตรวจพบครั้งแรกโดย Doctor Web ในเดือนธันวาคม 2022 โดยกลุ่มได้ใช้ประโยชน์จากช่องโหว่ปลั๊กอิน WordPress หลายจุดเพื่อติดตั้งแบ็กดอร์บนระบบที่ถูกบุกรุก

วัตถุประสงค์หลักของกิจกรรมเหล่านี้คือการเปลี่ยนเส้นทางผู้ใช้ที่เข้าชมเว็บไซต์ที่ถูกโจมตีไปยังหน้าสนับสนุนทางเทคนิคปลอม หน้าที่ถูกรางวัลลอตเตอรี่ และประกาศหลอกลวง ตั้งแต่ปี 2017 มีเว็บไซต์มากกว่า 1 ล้านแห่งที่ได้รับผลกระทบจาก Balada Injector

ปฏิบัติการหลักเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ CVE-2023-3169 เพื่อแทรกโค้ดที่เป็นอันตรายและสร้างการเข้าถึงเว็บไซต์โดยการติดตั้งแบ็กดอร์ เพิ่มปลั๊กอินที่เป็นอันตราย และสร้างผู้ดูแลระบบเพื่อควบคุมเว็บไซต์

Sucuri อธิบายว่านี่เป็นการโจมตีที่ซับซ้อนที่สุดครั้งหนึ่งที่ดำเนินการโดยโปรแกรมอัตโนมัติที่เลียนแบบการติดตั้งปลั๊กอินจากไฟล์ ZIP และเปิดใช้งาน การโจมตีที่ตรวจพบในช่วงปลายเดือนกันยายน 2566 ใช้การแทรกโค้ดแบบสุ่มเพื่อดาวน์โหลดและเปิดใช้งานมัลแวร์จากเซิร์ฟเวอร์ระยะไกลเพื่อติดตั้งปลั๊กอิน wp-zexit บนเว็บไซต์ WordPress ที่เป็นเป้าหมาย