بالادا سيئة السمعة تضرب مرة أخرى —
إذا كان أحد المواقع يعيد توجيه الزائرين إلى مواقع احتيالية، فمن المحتمل أن يكون قد تم اختراقه بواسطة Balada.
تعرضت آلاف المواقع التي تستخدم نظام إدارة محتوى WordPress للاختراق من قبل جهة فاعلة للتهديد، استغلت ثغرة أمنية تم تصحيحها مؤخرًا في مكون إضافي مستخدم على نطاق واسع.
يعد المكون الإضافي الضعيف، والمعروف باسم tagDiv Composer، متطلبًا إلزاميًا لاستخدام اثنتين من سمات WordPress: جريدة و نيوزماج. تتوفر السمات من خلال أسواق Theme Forest وEnvato ولديها أكثر من 155000 عملية تنزيل.
الثغرة الأمنية، التي تم تتبعها باسم CVE-2023-3169، تُعرف باسم عيب البرمجة النصية عبر المواقع (XSS) الذي يسمح للمتسللين بإدخال تعليمات برمجية ضارة في صفحات الويب. اكتشفها الباحث الفيتنامي تروك فانتحمل الثغرة الأمنية تصنيف خطورة يبلغ 7.1 من أصل 10. وقد تم إصلاحها جزئيًا في الإصدار 4.1 من tagDiv Composer وتم تصحيحها بالكامل في الإصدار 4.2.
وفقا ل بريد من تأليف الباحث الأمني دينيس سينيجوبكو، تستغل الجهات الفاعلة في مجال التهديد الثغرة الأمنية لإدخال نصوص ويب تعيد توجيه الزائرين إلى مواقع احتيال مختلفة. تؤدي عمليات إعادة التوجيه إلى قيام المواقع بتقديم دعم فني مزيف، وتحقيق فوز احتيالي في اليانصيب، وعمليات خداع الإشعارات، حيث تخدع هذه الأخيرة الزائرين للاشتراك في دفع الإشعارات عن طريق عرض مربعات حوار كلمة التحقق وهمية.
وتقوم شركة Sucuri، وهي شركة أمنية تعمل لصالحها Sinegubko، بتتبع حملة البرامج الضارة منذ عام 2017 وأطلقت عليها اسم Balada. وتشير تقديرات سوكوري إلى أنه خلال السنوات الست الماضية، قامت شركة Balada باختراق أكثر من مليون موقع. وفي الشهر الماضي، اكتشفت شركة Sucuri عمليات حقن Balada في أكثر من 17000 موقع، وهو ما يقرب من ضعف العدد الذي شهدته الشركة في الشهر السابق. وكانت أكثر من 9000 حالة إصابة جديدة نتيجة الحقن التي أصبحت ممكنة بفضل استغلال CVE-2023-3169.
كتب سينجوبكو:
لقد لاحظنا دورة سريعة من التعديلات على النصوص المحقونة جنبًا إلى جنب مع التقنيات والأساليب الجديدة. لقد رأينا عمليات حقن عشوائية وأنواع تشويش، واستخدامًا متزامنًا لنطاقات ونطاقات فرعية متعددة، وإساءة استخدام CloudFlare، وأساليب متعددة لمهاجمة مسؤولي مواقع WordPress المصابة.
كان شهر سبتمبر أيضًا شهرًا صعبًا للغاية بالنسبة لآلاف مستخدمي موضوع صحيفة tagDiv. نفذت حملة البرامج الضارة Balada Injector سلسلة من الهجمات التي استهدفت كلاً من الثغرة الأمنية في المكون الإضافي tagDiv Composer ومسؤولي المدونات في المواقع المصابة بالفعل.
قامت شركة Sucuri بتتبع ما لا يقل عن ست موجات من الحقن التي تعمل على الاستفادة من الثغرة الأمنية. على الرغم من أن كل موجة متميزة، إلا أنها تحتوي جميعها على نص برمجي مُدرج داخل هذه العلامات:
<style id="tdw-css-placeholder"></style><script>...malicious injection…</script><style></style>
يستخدم الحقن الضار تعليمات برمجية مبهمة لتجعل من الصعب اكتشافها. يمكن العثور عليها في قاعدة البيانات التي تستخدمها مواقع WordPress، وتحديداً في خيار “td_live_css_local_storage” في جدول wp_options.
لقد حاول ممثل التهديد Balada دائمًا السيطرة المستمرة على مواقع الويب التي يخترقها. الطريقة الأكثر شيوعًا للقيام بذلك هي عن طريق إدخال البرامج النصية التي تنشئ حسابات بامتيازات المسؤول. إذا اكتشف المسؤولون الحقيقيون البرامج النصية لإعادة التوجيه وقاموا بإزالتها مع السماح ببقاء حسابات الإدارة المزيفة، فإن جهة التهديد تستخدم التحكم الإداري الخاص بها لإضافة مجموعة جديدة من البرامج النصية الضارة لإعادة التوجيه.
كتب الباحث:
يهدف قراصنة Balada Injector دائمًا إلى التحكم المستمر في المواقع المخترقة عن طريق تحميل أبواب خلفية وإضافة مكونات إضافية ضارة وإنشاء مديرين محتالين للمدونات. في هذه الحالة، [CVE-2023-3169] الضعف لا يسمح لهم بتحقيق هذا الهدف بسهولة. ومع ذلك، فإن هذا لم يمنع شركة Balada من محاولة السيطرة الكاملة على المواقع التي تحتوي على ثغرات XSS المخزنة.
تشتهر شركة Balada منذ فترة طويلة بإدخال نصوص برمجية ضارة تستهدف مسؤولي الموقع الذين قاموا بتسجيل الدخول. الفكرة هي أنه عندما يقوم مسؤول المدونة بتسجيل الدخول إلى موقع ويب، فإن متصفحه يحتوي على ملفات تعريف الارتباط التي تسمح له بالقيام بجميع مهامه الإدارية دون الحاجة إلى مصادقة نفسه في كل صفحة جديدة. لذا، إذا قام متصفحهم بتحميل برنامج نصي يحاول محاكاة نشاط المسؤول، فسيكون قادرًا على فعل أي شيء تقريبًا يمكن القيام به عبر واجهة إدارة WordPress.
يجب على أي شخص يدير موقعًا يستخدم سمات WordPress Newspaper أو Newsmag أن يفحص بعناية كلاً من موقعه وسجلات الأحداث الخاصة به بحثًا عن علامات الإصابة باستخدام العديد من مؤشرات التسوية المضمنة في منشور Sucuri. كما ذكرنا سابقًا، تحاول الجهات الفاعلة في تهديد Balada الوصول بشكل مستمر إلى المواقع التي تخترقها. بالإضافة إلى إزالة أي نصوص برمجية ضارة تمت إضافتها، من المهم أيضًا التحقق من وجود رمز الباب الخلفي وإضافة أي حسابات إدارية.