Acredita-se que a nova botnet KashmirBlack tenha infectado centenas de milhares de sites desde novembro de 2019.
Acredita-se que uma botnet altamente sofisticada infectou centenas de milhares de sites atacando suas plataformas cms (sistema de gerenciamento de conteúdo) subjacente.
Chamada KashmirBlack, a botnet começou a operar em novembro de 2019.
Pesquisadores de segurança da Imperva — que analisaram a botnet na semana passada em uma série de duas– partes — disseram que o principal objetivo da botnet parece ser infectar sites e, em seguida, usar seus servidores para mineração de criptomoedas, redirecionando o tráfego legítimo de um site para páginas de spam e, em menor grau, mostrando desfigurações na Web.
Imperva disse que a botnet começou pequena, mas depois de meses de crescimento constante, evoluiu para um behemoth sofisticado capaz de atacar milhares de sites por dia.
As maiores mudanças ocorreram em maio deste ano, quando a botnet aumentou tanto sua infraestrutura de comando e controle (C&C), mas também seu arsenal de exploração.
Atualmente, o KashmirBlack é “gerenciado por um servidor de C&C (Comando e Controle) e usa mais de 60 – a maioria inocentes – servidores como parte de sua infraestrutura”, disse Imperva.
“[A botnet] lida com centenas de bots, cada um se comunicando com o C&C para receber novos alvos, realizar ataques de força bruta, instalar backdoors e expandir o tamanho da botnet.”
O KashmirBlack expande-se escaneando a internet em busca de sites usando software desatualizado e, em seguida, usando explorações para vulnerabilidades conhecidas para infectar o site e seu servidor subjacente.
Alguns dos servidores hackeados são usados para spam ou mineração de criptomoedas, mas também para atacar outros sites e manter a botnet viva.
Desde novembro de 2019, a Imperva diz ter visto a botnet abusar de 16 vulnerabilidades:
- Execução de Código Remoto PHPUnit – CVE-2017-9841
- vulnerabilidade de upload de arquivo jQuery – CVE-2018-9206
- Injeção de Comando ELFinder – CVE-2019-9194
- Joomla! vulnerabilidade de upload de arquivos remotos
- Inclusão de Arquivos Locais Magento – CVE-2015-2067
- Magento Webforms Upload vulnerabilidade
- Upload de arquivo arbitrário CMS Plupload
- Vulnerabilidade yeager CMS – CVE-2015-7571
- Várias vulnerabilidades, incluindo upload de arquivos e RCE para muitos plugins em várias plataformas aqui
- Vulnerabilidade WordPress TimThumb RFI – CVE-2011-4106
- Carregar vulnerabilidade RCE
- vBulletin Widget RCE – CVE-2019-16759
- WordPress instalar.php RCE
- Ataque wordpress xmlrpc.php Login Brute-Force
- WordPress vários Plugins RCE (veja lista completa aqui)
- WordPress vários temas RCE (veja lista completa aqui)
- Vulnerabilidade de upload de arquivos Webdav
As explorações listadas acima permitiram que os operadores da KashmirBlack atacassem sites que executam plataformas CMS como WordPress, Joomla!, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart e Yeager.
Algumas explorações atacaram o próprio CMS, enquanto outras atacaram alguns de seus componentes internos e bibliotecas.
“Durante nossa pesquisa, testemunhamos sua evolução de uma botnet de médio volume com habilidades básicas para uma infraestrutura maciça que está aqui para ficar”, disseram pesquisadores da Imperva na sexta-feira.
Com base em múltiplas pistas encontradas, os pesquisadores da Imperva disseram acreditar que a botnet era obra de um hacker chamado Exect1337, um membro da equipe de hackers indonésia PhantomGhost.
FONTE: ZDNET