Black Week: 70% sui servizi con il promocode BLACKWEEK20link
Breaking News

KashmirBlack: la botnet che dirotta migliaia di siti sui CMS più popolari

2 minuti lettura
KshmirBlack attacco siti

Una botnet attiva comprendente centinaia di migliaia di sistemi dirottati sparsi in 30 paesi sta sfruttando “dozzine di vulnerabilità note” per prendere di mira i CMS (Content Management System) più utilizzati.

La campagna KashmirBlack, che si ritiene essere iniziata a novembre 2019, ha come target i CMS più popolari, tra cui WordPress, Joomla!, PrestaShop, Magento, Drupal o OpenCart.

Come spiegano i ricercatori di Imperva nella loro analisi, “l’infrastruttura ben progettata rende facile espandere e aggiungere nuovi exploit senza troppi sforzi, utilizzando metodi sofisticati per camuffarsi e proteggere il suo funzionamento”. Basandosi sulla firma dell’hacker trovata durante un attacco di defacement, i ricercatori di Imperva ritengono che la botnet sia opera di un hacker di nome Exect1337, un membro di PhantomGhost.

L’analisi della società sulla botnet rivela un’operazione complessa gestita da un server command-and-control (C2) e più di 60 surrogate server che comunicano con i bot per inviare nuovi target, consentendogli di espandere le dimensioni della botnet tramite attacchi brute-force e installazioni di backdoor.

Oltre che essere sfruttato per eseguire attacchi di defacement, lo scopo principale di KashmirBlack è abusare delle risorse dei sistemi compromessi per il mining della criptovaluta Monero e reindirizzare il traffico legittimo di un sito web verso pagine di spam.

I tentativi di sfruttamento iniziano con l’utilizzo della vulnerabilità PHPUnit RCE (CVE-2017-9841) per infettare i clienti con payloads dannosi che comunicano con il server C2.

L’infrastruttura di KashmirBlack è complessa e comprende una serie di parti mobili, inclusi due separati repository: il primo ospita exploits e payloads, il secondo memorizza lo script dannoso per la comunicazione con il server C2.

I bot sono qualificati o come spreading bot, un server vittima che comunica con il server C2, ricevendo comandi per infettare nuove vittime, o come pending bot, una vittima appena compromessa il cui scopo nella botnet è ancora in fase di definizione.

Se il CVE-2017-9841 viene utilizzato per trasformare una vittima in un spreading bot, riuscire a sfruttare con successo 15 difetti nei sistemi CMS porta il sito della vittima a diventare un nuovo pending bot nella botnet.

L’ultima evoluzione di KashmirBlack è forse la più insidiosa. Il mese scorso, i ricercatori hanno scoperto che la botnet utilizza Dropbox come un rimpiazzo alla sua infrastruttura C2, abusando dell’API del servizio di cloud storage per recuperare le istruzioni di attacco e caricare i rapporti sugli attacchi dai bot in diffusione.

Come ha affermato Imperva, “il passaggio a Dropbox consente alla botnet di nascondere attività criminali illegittime dietro servizi web legittimi: è un ulteriore passo verso la mimetizzazione del traffico della botnet, la protezione delle operazioni C&C e il rendere difficile risalire all’hacker dietro l’operazione”.

Note sull'autore
Marketing Assistant - Appassionata di scrittura e social media, crede fortemente nell’influenza positiva del digitale e della comunicazione nella vita quotidiana. In Shellrent supporta le imprese nell’identificazione delle soluzioni più adatte in materia di hosting, cloud e infrastrutture IT.
Articoli
Articoli correlati
Breaking News

cPanel: scoperto bypass nella 2FA degli account

1 minuti lettura
I ricercatori di Digital Defense hanno scoperto una grave falla nella sicurezza di cPanel, uno dei software più utilizzati per la gestione…
Breaking News

Girls Code It Better: il progetto che supporta le ragazze nelle STEM

1 minuti lettura
Girls Code It Better è un progetto di Officina futuro fondazione MAW per avvicinare le bambine e le ragazze alle discipline STEM…
Breaking News

Vulnerabilità critica nei prodotti VMWare

1 minuti lettura
VMWare ha rilasciato delle soluzioni temporanee per risolvere una vulnerabilità critica nei suoi prodotti che potrebbe essere sfruttata da un utente malintenzionato…