Το νέο botnet KashmirBlack πιστεύεται ότι έχει μολύνει εκατοντάδες χιλιάδες ιστότοπους από το Νοέμβριο του 2019.
Ένα πολύ εξελιγμένο botnet πιστεύεται ότι έχει μολύνει εκατοντάδες χιλιάδες ιστότοπους κάνοντας επίθεση στις πλατφόρμες του συστήματος διαχείρισης περιεχομένου (CMS).
Με την ονομασία KashmirBlack, το botnet άρχισε να λειτουργεί τον Νοέμβριο του 2019.
Οι ερευνητές ασφαλείας από την Imperva – που ανέλυσαν το botnet την περασμένη εβδομάδα – δήλωσαν ότι ο πρωταρχικός σκοπός του botnet φαίνεται να είναι η μόλυνση των ιστότοπων και, στη συνέχεια, η χρήση των server τους για cryptocurrency mining, ανακατεύθυνση του traffic ενός ιστότοπου σε σελίδες spam και σε μικρότερο βαθμό η εμφάνιση “web defacements”.
Η Imperva είπε ότι το botnet ξεκίνησε μικρό, αλλά μετά από μήνες συνεχούς ανάπτυξης, έχει εξελιχθεί σε ένα εξελιγμένο μεγαθήριο ικανό να επιτίθεται σε χιλιάδες ιστότοπους την ημέρα.
Οι μεγαλύτερες αλλαγές σημειώθηκαν τον Μάιο του τρέχοντος έτους, όταν το botnet αύξησε τόσο την υποδομή command-and-control (C&C), όσο και το οπλοστάσιο του.
Σήμερα, το KashmirBlack “διαχειρίζεται ένας C&C (Command and Control) και χρησιμοποιεί περισσότερους από 60 servers ως μέρος της υποδομής του”, δήλωσε η Imperva.
“Το botnet χειρίζεται εκατοντάδες bots, το καθένα επικοινωνεί με τους C&C για να λαμβάνει νέους στόχους, να εκτελεί επιθέσεις brute force, να εγκαθιστά backdoors και να επεκτείνει το μέγεθος του botnet.
Το KashmirBlack επεκτείνεται σαρώνοντας το internet για ιστότοπους χρησιμοποιώντας μη ενημερωμένο software και στη συνέχεια χρησιμοποιώντας exploits για γνωστά τρωτά σημεία για να μολύνει τον ιστότοπο και τον υποκείμενο server του.
Μερικοί από τους παραβιασμένους servers στη συνέχεια χρησιμοποιούνται για spam ή crypto-mining, αλλά και για να επιτεθούν σε άλλους ιστότοπους και να διατηρήσουν το botnet ζωντανό.
Από τον Νοέμβριο του 2019, η Imperva αναφέρει ότι εντοπίστηκαν 16 ευπάθειες κατάχρησης του botnet:
- Εκτέλεση απομακρυσμένου κώδικα PHPUnit – CVE-2017-9841
- Ευπάθεια μεταφόρτωσης αρχείων jQuery – CVE-2018-9206
- ELFinder Command Injection – CVE-2019-9194
- Joomla! ευπάθεια απομακρυσμένης αποστολής αρχείων
- Magento Local File Inclusion – CVE-2015-2067
- Magento Webforms Upload ευπάθεια
- Αυθαίρετη μεταφόρτωση αρχείου CMS Plupload
- Yeager CMS ευπάθεια – CVE-2015-7571
- WordPress TimThumb RFI ευπάθεια – CVE-2011-4106
- Μεταφόρτωση ευπάθειας RCE
- vBulletin Widget RCE – CVE-2019-16759
- WordPress install.php RCE
- WordPress xmlrpc.php Login Brute-Force επίθεση
- WordPress πολλαπλά plugins RCE (δείτε την πλήρη λίστα εδώ)
- WordPress πολλαπλά themes RCE (δείτε την πλήρη λίστα εδώ)
- Ευπάθεια μεταφόρτωσης αρχείων Webdav
Τα exploits που αναφέρονται παραπάνω επέτρεψαν στους χειριστές του KashmirBlack να επιτεθούν σε ιστότοπους που χρησιμοποιούν πλατφόρμες CMS όπως το WordPress, το Joomla!, το PrestaShop, το Magneto, το Drupal, το vBulletin, το osCommerce, το OpenCart και το Yeager.
Κάποια exploits επιτέθηκαν στον ίδιο το CMS, ενώ άλλα επιτέθηκαν σε κάποια από τα εσωτερικά τους components και τις βιβλιοθήκες τους.
Με βάση πολλές ενδείξεις που βρήκαν, οι ερευνητές της Imperva δήλωσαν ότι πίστευαν ότι το botnet ήταν έργο ενός χάκερ που ονομάζεται Exect1337, μέλος της ομάδας PhantomGhost.
