[웹] 최근 발견된 백도어에 감염된 수백 개의 워드프레스 사이트

/ 웹&디자인 /
지난주에 게시된 글에 따르면, 30개의 서로 다른 WordPress 플러그인의 패치되지 않은 취약점을 악용하는 맬웨어가 수천 개는 아니더라도 수백 개의 사이트를 감염시켰으며 수년 동안 활발하게 사용되었을 수 있습니다.

리눅스 기반 악성코드는 감염된 사이트가 방문자를 악성 사이트로 리디렉션하도록 하는 백도어를 설치한다고 보안업체 Dr.Web의 연구원들이 밝혔습니다. 또한 이벤트 로깅을 비활성화하고 대기 모드로 전환하고 자체적으로 종료할 수 있습니다. 웹 사이트 소유자가 핵심 WordPress 콘텐츠 관리 시스템에 실시간 채팅 또는 통계 보고와 같은 기능을 추가하는 데 사용하는 플러그인의 이미 패치된 취약점을 악용하여 설치됩니다.

“사이트에서 중요한 수정 사항이 없는 오래된 버전의 애드온을 사용하는 경우 대상 웹 페이지에 악성 JavaScript가 주입됩니다.”라고 Dr.Web 연구원은 썼습니다. “결과적으로 사용자가 공격받은 페이지의 영역을 클릭하면 다른 사이트로 리디렉션됩니다.”

다음과 같은 플러그인 중 하나가 1,300개 이상의 사이트에 백도어를 작동시키는 JavaScript가 포함되어 있음을 나타냅니다. 이러한 사이트 중 일부는 마지막 검사 이후 악성 코드를 제거했을 수 있습니다. 그래도 맬웨어의 도달 범위를 나타냅니다.

악용되는 플러그인은 다음과 같습니다.

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Facebook Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid
  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

Dr.Web은 “하나 이상의 취약점이 성공적으로 악용되면 대상 페이지에 원격 서버에서 다운로드되는 악성 JavaScript가 주입됩니다.”라고 설명했습니다. 이를 통해 감염된 페이지가 로드될 때 페이지의 원래 내용에 관계없이 이 JavaScript가 먼저 시작되는 방식으로 주입이 수행됩니다. 이 시점에서 사용자가 감염된 페이지의 아무 곳이나 클릭할 때마다 공격자가 사용자가 이동해야 하는 웹 사이트로 전송됩니다.”

JavaScript에는 다음과 같은 다양한 악성 도메인에 대한 링크가 포함되어 있습니다.

lobbydesires[.]com
letsmakeparty3[.]ga
deliverygoodstrategies[.]com
gabriellalovecats[.]com
css[.]digestcolect[.]com
clon[.]collectfasttracks[.]com
Count[.]trackstatisticsss[.]com

아래 스크린샷은 감염된 사이트의 페이지 소스에 JavaScript가 어떻게 나타나는지 보여줍니다.

닥터웹

연구원들은 백도어의 두 가지 버전을 발견했습니다. Linux.BackDoor.WordPressExploit.1 그리고 Linux.BackDoor.WordPressExploit.2. 그들은 맬웨어가 3년 이상의 기간 동안에 사용되었을 수 있다고 말했습니다.

WordPress 플러그인은 오랫동안 사이트를 감염시키는 일반적인 수단이었습니다. 기본 애플리케이션의 보안은 상당히 강력하지만 많은 플러그인이 감염으로 이어질 수 있는 취약점으로 가득 차 있습니다. 범죄자는 감염된 사이트를 사용하여 방문자를 피싱, 광고 사기 및 맬웨어 배포에 사용되는 사이트로 리디렉션합니다.

WordPress 사이트를 운영하는 사람들은 주요 소프트웨어와 플러그인의 최신 버전을 사용하고 있는지 확인해야 합니다. 위에 나열된 플러그인을 업데이트하는 데 우선순위를 두어야 합니다.

출처 보기