Ботнет KashmirBlack стоит за атаками на CMS, такие как WordPress, Joomla, Drupal и другие
KashmirBlack обрабатывает сотни ботов, каждый из которых обменивается данными с C&C, чтобы получать новые цели, выполнять атаки методом перебора, устанавливать бэкдоры и увеличивать размер ботнета.
Считается, что очень сложный ботнет заразил сотни тысяч веб-сайтов, атакуя их базовые платформы системы управления контентом (CMS).
KashmirBlack ботнет начал свою деятельность в ноябре 2019 года.
Исследователи безопасности из Imperva, которые проанализировали ботнет на прошлой неделе, заявили, что основная цель ботнета состоит в том, чтобы заражать веб-сайты, а затем использовать их серверы для добычи криптовалют, перенаправляя законный трафик сайта на спам-страницы.
По словам Imperva, ботнет начинался с малого, но после нескольких месяцев постоянного роста он превратился в сложного бегемота, способного атаковать тысячи сайтов в день.
Самые большие изменения произошли в мае этого года, когда ботнет увеличил как свою инфраструктуру управления (C&C), так и свой арсенал эксплойтов.
В настоящее время KashmirBlack «управляется одним сервером C&C (Command and Control) и использует более 60 (в основном невинных суррогатных) серверов как часть своей инфраструктуры».
Ботнет обрабатывает сотни ботов, каждый из которых обменивается данными с C&C, чтобы получать новые цели, выполнять атаки методом перебора, устанавливать бэкдоры и увеличивать размер ботнета.
KashmirBlack расширяется, сканируя интернет на наличие сайтов с использованием устаревшего программного обеспечения, а затем использует эксплойты для выявления известных уязвимостей, чтобы заразить сайт и его базовый сервер.
Некоторые из взломанных серверов используются для спама или крипто-майнинга, а также для атак на другие сайты и поддержания активности ботнета.
С ноября 2019 года ботнет использовал 17 уязвимостей:
- Удаленное выполнение кода PHPUnit — CVE-2017-9841
- Уязвимость загрузки файла jQuery — CVE-2018-9206
- Внедрение команд в ELFinder — CVE-2019-9194
- Joomla! уязвимость удаленной загрузки файлов
- Включение локального файла Magento — CVE-2015-2067
- Уязвимость загрузки веб-форм Magento
- CMS Plupload Загрузка произвольного файла
- Уязвимость Yeager CMS — CVE-2015-7571
- Множественные уязвимости , включая File Upload & RCE для многих плагинов в различных платформах
- Уязвимость WordPress TimThumb RFI — CVE-2011-4106
- Uploadify RCE уязвимость
- Виджет vBulletin RCE — CVE-2019-16759
- WordPress install.php RCE
- WordPress xmlrpc.php Вход в систему Атака перебором
- Несколько плагинов WordPress RCE
- Несколько тем WordPress RCE
- Уязвимость загрузки файлов Webdav
Перечисленные выше эксплойты позволили операторам KashmirBlack атаковать сайты, на которых работают платформы CMS, такие как WordPress, Joomla, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart и Yeager.
Некоторые эксплойты атаковали саму CMS, другие — некоторые из их внутренних компонентов и библиотек.
«В ходе нашего исследования мы стали свидетелями его эволюции от ботнета среднего объема с базовыми возможностями к массивной инфраструктуре, которая должна остаться», — заявили исследователи Imperva.
Основываясь на множестве найденных улик, исследователи Imperva заявили, что, по их мнению, ботнет был работой хакера по имени Exect1337, члена индонезийской хакерской команды PhantomGhost.
