0

Ботнет KashmirBlack стоит за атаками на CMS, такие как WordPress, Joomla, Drupal и другие

Считается, что очень сложный ботнет заразил сотни тысяч веб-сайтов, атакуя их базовые платформы системы управления контентом (CMS).

KashmirBlack самый мощный и сложный ботнет.

KashmirBlack botnet заразил сотни тысяч веб-сайтов.

KashmirBlack ботнет начал свою деятельность в ноябре 2019 года.

Исследователи безопасности из Imperva, которые проанализировали ботнет на прошлой неделе, заявили, что основная цель ботнета состоит в том, чтобы заражать веб-сайты, а затем использовать их серверы для добычи криптовалют, перенаправляя законный трафик сайта на спам-страницы.

По словам Imperva, ботнет начинался с малого, но после нескольких месяцев постоянного роста он превратился в сложного бегемота, способного атаковать тысячи сайтов в день.

Самые большие изменения произошли в мае этого года, когда ботнет увеличил как свою инфраструктуру управления (C&C), так и свой арсенал эксплойтов.

В настоящее время KashmirBlack «управляется одним сервером C&C (Command and Control) и использует более 60 (в основном невинных суррогатных) серверов как часть своей инфраструктуры».

Ботнет обрабатывает сотни ботов, каждый из которых обменивается данными с C&C, чтобы получать новые цели, выполнять атаки методом перебора, устанавливать бэкдоры и увеличивать размер ботнета.

KashmirBlack расширяется, сканируя интернет на наличие сайтов с использованием устаревшего программного обеспечения, а затем использует эксплойты для выявления известных уязвимостей, чтобы заразить сайт и его базовый сервер.

Некоторые из взломанных серверов используются для спама или крипто-майнинга, а также для атак на другие сайты и поддержания активности ботнета.

С ноября 2019 года ботнет использовал 17 уязвимостей:

  • Удаленное выполнение кода PHPUnit — CVE-2017-9841
  • Уязвимость загрузки файла jQuery — CVE-2018-9206
  • Внедрение команд в ELFinder — CVE-2019-9194
  • Joomla! уязвимость удаленной загрузки файлов
  • Включение локального файла Magento — CVE-2015-2067
  • Уязвимость загрузки веб-форм Magento
  • CMS Plupload Загрузка произвольного файла
  • Уязвимость Yeager CMS — CVE-2015-7571
  • Множественные уязвимости , включая File Upload & RCE для многих плагинов в различных платформах
  • Уязвимость WordPress TimThumb RFI — CVE-2011-4106
  • Uploadify RCE уязвимость
  • Виджет vBulletin RCE — CVE-2019-16759
  • WordPress install.php RCE
  • WordPress xmlrpc.php Вход в систему Атака перебором
  • Несколько плагинов WordPress RCE
  • Несколько тем WordPress RCE
  • Уязвимость загрузки файлов Webdav

Перечисленные выше эксплойты позволили операторам KashmirBlack атаковать сайты, на которых работают платформы CMS, такие как WordPress, Joomla, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart и Yeager.

Некоторые эксплойты атаковали саму CMS, другие — некоторые из их внутренних компонентов и библиотек.

«В ходе нашего исследования мы стали свидетелями его эволюции от ботнета среднего объема с базовыми возможностями к массивной инфраструктуре, которая должна остаться», — заявили исследователи Imperva.

Основываясь на множестве найденных улик, исследователи Imperva заявили, что, по их мнению, ботнет был работой хакера по имени Exect1337, члена индонезийской хакерской команды PhantomGhost.

Добавить комментарий

Ваш адрес email не будет опубликован.