KashmirBlack botnet inficirao stotine hiljada veb sajtova

Vesti, 30.10.2020, 12:30 PM

Botnet KashmirBlack zarazio je stotine hiljada veb sajtova napadajući slabosti CMS (content management system) platformi. KashmirBlack je prvi put primećen u novembru prošle godine.

Istraživači iz kompanije Imperva koji su analizirali botnet (prvi i drugi deo analize) kažu da je njegova glavna svrha infekcija veb sajtova i korišćenje njihovih servera za rudarenje kriptovaluta, ali i preusmeravanje legitimnog saobraćaja sajtova na spam stranice.

Od prošle godine, KashmirBlack je evoluirao u sofisticiranog diva koji je sposoban da napadne hiljade veb sajtova dnevno.

Velike promene desile su se u maju ove godine, kada je povećana C&C (komanda i kontrola) infrastruktura, ali i arsenal exploita.

Trenutno, KashmirBlackom upravlja jedan C&C server a on koristi i 60 “surogat servera” kao deo svoje infrastrukture.

“KashmirBlack rukovodi stotinama botova, od kojih svaki komunicira sa C&C da bi dobio informacije o novim ciljevima, izveo brute force napade, instalirao backdoorove i uvećao bot mrežu”, kažu istraživači.

KashmirBlack se širi skeniranjem interneta u potrazi za sajtovima koji koriste neažurirani softver, a zatim se koriste exploiti za poznate ranjivosti kako bi se inficirao sajt i njegov server.

Neki od hakovanih servera koriste se za spam ili rudarenje, ali i za napade na druge sajtove kako bi se se bot mreža uvećavala.

Od novembra, u Impervi su primetili da se iskorišćava 16 poznatih ranjivosti koje omogućavaju napadačima da napadaju sajtove koje pokreću CMS platforme kao što su WordPress, Joomla!, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart i Yeager.

Na osnovu nekih tragova koje su pronašli, istraživači veruju da je KashmirBlack delo hakera koji koristi pseudonim Exect1337, inače člana indonezijske hakerske grupe PhantomGhost.