Diperkirakan satu juta situs web WordPress telah dikompromikan selama kampanye jangka panjang yang mengeksploitasi “semua kerentanan tema dan plugin yang diketahui dan baru ditemukan” untuk menyuntikkan backdoor Linux yang oleh para peneliti diberi nama Balad Injector.
Kampanye ini telah berjalan sejak 2017 dan sebagian besar bertujuan untuk mengalihkan ke halaman dukungan teknis palsu, kemenangan lotre penipuan, dan penipuan notifikasi push.
Menurut perusahaan keamanan situs web Sucurikampanye Balad Injector sama dengan yang dilaporkan Dr.Web pada Desember 2022 untuk memanfaatkan kekurangan yang diketahui di beberapa plugin dan tema untuk memasang pintu belakang.
Kampanye jangka panjang
Sucuri melaporkan bahwa Balada Injector menyerang dalam gelombang yang terjadi sebulan sekali atau lebih, masing-masing menggunakan nama domain yang baru didaftarkan untuk menghindari daftar pemblokiran.
Biasanya, malware mengeksploitasi kerentanan yang baru terungkap dan mengembangkan rutinitas serangan khusus di sekitar kelemahan yang ditargetkannya.
Metode injeksi yang diamati Sucuri selama ini antara lain siteurl hacks, HTML injection, database injection, dan arbitrary file injection.
Sejumlah besar vektor serangan ini juga menciptakan infeksi situs duplikat, dengan gelombang berikutnya menargetkan situs yang sudah disusupi. Sucuri menyoroti kasus sebuah situs yang diserang sebanyak 311 kali dengan 11 versi berbeda dari Balada.
Kegiatan pasca infeksi
Skrip Balada fokus pada eksfiltrasi informasi sensitif seperti kredensial database dari file wp-config.php, jadi meskipun pemilik situs membersihkan infeksi dan menambal add-on mereka, aktor ancaman mempertahankan akses mereka.
Kampanye ini juga mencari arsip dan basis data cadangan, log akses, info debug, dan file yang mungkin berisi informasi sensitif. Sucuri mengatakan pelaku ancaman sering memperbarui daftar file yang ditargetkan.
Selain itu, malware mencari keberadaan alat administrasi database seperti Adminer dan phpMyAdmin. Jika alat ini rentan atau salah konfigurasi, alat ini dapat digunakan untuk membuat pengguna admin baru, mengekstrak informasi dari situs, atau menyuntikkan malware yang terus-menerus ke database.
Jika jalur pelanggaran langsung ini tidak tersedia, penyerang beralih ke paksa kata sandi admin dengan mencoba satu set 74 kredensial.
Pintu belakang Balada
Balada Injector menanam banyak pintu belakang di situs WordPress yang disusupi untuk redundansi, yang bertindak sebagai titik akses tersembunyi bagi penyerang.
Sucuri melaporkan bahwa pada suatu saat di tahun 2020, Balada menghapus pintu belakang ke 176 jalur yang telah ditentukan, membuat penghapusan pintu belakang sepenuhnya menjadi sangat menantang.
Selain itu, nama pintu belakang yang ditanam diubah di setiap gelombang kampanye untuk mempersulit pendeteksian dan penghapusan bagi pemilik situs web.
Para peneliti mengatakan bahwa injektor Balada tidak ada di setiap situs yang dikompromikan karena sejumlah besar klien akan menjadi tantangan yang sulit untuk dikelola. Mereka percaya bahwa para peretas mengunggah malware di situs web “yang dihosting di server pribadi atau virtual pribadi yang menunjukkan tanda-tanda tidak dikelola atau diabaikan dengan benar.”
Dari sana, penyuntik memindai situs web yang berbagi akun server dan izin file yang sama dan mencarinya untuk direktori yang dapat ditulisi, mulai dari direktori dengan hak istimewa lebih tinggi, hingga melakukan infeksi lintas situs.
Pendekatan ini memungkinkan pelaku ancaman untuk dengan mudah menyusupi beberapa situs sekaligus dan dengan cepat menyebarkan pintu belakang mereka sambil harus mengelola injektor dalam jumlah minimal.
Selain itu, infeksi lintas situs memungkinkan penyerang menginfeksi ulang situs yang telah dibersihkan berulang kali, selama akses ke VPS dipertahankan.
Sucuri mencatat bahwa bertahan melawan serangan Balada Injector mungkin berbeda dari satu kasus ke kasus lainnya dan bahwa tidak ada satu set instruksi khusus yang dapat diikuti oleh admin untuk mencegah ancaman, karena banyaknya variasi vektor infeksi.
Namun, jenderal Sucuri Panduan pembersihan malware WordPress harus cukup untuk memblokir sebagian besar upaya.
Menjaga semua perangkat lunak situs web diperbarui, menggunakan kata sandi yang kuat dan unik, menerapkan otentikasi dua faktor, dan menambahkan sistem integritas file harus berfungsi cukup baik untuk melindungi situs dari penyusupan.
