По оценкам ИБ-экспертов, около миллиона сайтов на WordPress скомпрометированы в результате вредоносной кампании, длящейся с 2017 года. Атакующие используют «все известные и недавно обнаруженные уязвимости в темах и плагинах» для внедрения на сайты Linux-бэкдоров Balada Injector.
Аналитики Sucuri рассказывают, что первыми Balada Injector заметили специалисты компании «Доктор Веб», которые сообщали в декабре прошлого года, что малварь для WordPress использует более 30 различных уязвимостей в ряде плагинов и тем оформления.
Атаки Balada Injector происходят волнами, примерно раз в месяц, и каждая из них использует только что зарегистрированное доменное имя, чтобы обойти черные списки. В своих атаках малварь задействует в основном недавно обнаруженные уязвимости, а операторы Balada Injector создают кастомные процедуры атак, выстраивая их вокруг конкретной проблемы. Так, исследователи наблюдали атаки на siteurl, HTML-инъекции, инъекции в БД и инъекции произвольных файлов.
Разные векторы атак нередко приводят к повторному заражению уже взломанных ранее сайтов. Sucuri описывает случай, когда сайт подвергся 311 атакам с использованием 11 различных версий Balada Injector.
После успешной атаки скрипты вредоноса сосредотачиваются на краже конфиденциальной информации, включая учетные данные БД и файлы wp-config.php. Поэтому даже если владелец сайта устраняет последствия атаки и патчит уязвимые плагины, хакеры сохраняют доступ к ресурсу.
Также вредонос ищет на зараженном сайте резервные копии и базы данных, журналы доступа, отладочную информацию и файлы, которые могут содержать конфиденциальную информацию. Злоумышленник часто обновляют списки таких целевых файлов.
Помимо этого малварь интересуют инструменты для администрирования баз данных, включая Adminer и phpMyAdmin. Если они уязвимы или настроены неправильно, их можно использовать для создания новых пользователей-администраторов, извлечения информации или внедрения устойчивого вредоносного ПО в БД ресурса.
Если же перечисленные простые пути взлома недоступны, операторы малвари прибегают к брутфорсу пароля администратора, пробуя набор из 74 учетных данных.
Balada Injector размещает на скомпрометированных сайтах несколько бэкдоров, которые действуют как скрытые точки доступа для хакеров. По данным исследователей, в какой-то момент в 2020 году вредонос распределял бэкдоры, используя 176 заранее заданных путей, из-за чего устранение заражения становилось крайне сложным. Более того, названия установленных бэкдоров менялись в каждой новой волне, чтобы дополнительно затруднить обнаружение и очистку пострадавших сайтов.
Исследователи говорят, что инжекторы Balada присутствуют не на каждом взломанном сайте, поскольку управлять таким большим количеством клиентов непросто. Они считают, что хакеры загружают малварь на сайты, «размещенные на частных или виртуальных частных серверах, которые не управляются нормально или выглядят запущенными».
После этого инжекторы ищут сайты, связанные с этой же учетной записью на сервере с такими же разрешениями на доступ к файлам, находят каталоги, доступные для записи, начиная с более высокопривилегированных, и выполняют межсайтовое заражение. Такой подход позволяет легко компрометировать несколько сайтов за раз и быстро распространять бэкдоры при минимальном количестве инжектов.
Кроме того, межсайтовое заражение позволяет атакующим многократно заражать уже «очищенные» сайты, пока у них сохраняется доступ к VPS.
Sucuri отмечает, что защита от атак Balada Injector может отличаться в зависимости от конкретного случая, а из-за разнообразия векторов атак не существует единого набора инструкций, которым администраторы могли бы следовать для защиты.