Un botnet actif comprenant des centaines de milliers de systèmes piratés répartis dans 30 pays exploite «des dizaines de vulnérabilités connues» pour cibler les systèmes de gestion de contenu (CMS) largement utilisés.

La campagne “KashmirBlack”, qui aurait commencé vers novembre 2019, vise les plates-formes CMS populaires telles que WordPress, Joomla !, PrestaShop, Magneto, Drupal, Vbulletin, OsCommerence, OpenCart et Yeager.

«Son infrastructure bien conçue facilite l’expansion et l’ajout de nouveaux exploits ou charges utiles sans trop d’efforts, et il utilise des méthodes sophistiquées pour se camoufler, rester inaperçu et protéger son fonctionnement», ont déclaré les chercheurs d’Imperva dans un en deux parties une analyse.

L’enquête de six mois de la société de cybersécurité sur le botnet révèle une opération complexe gérée par un serveur de commande et de contrôle (C2) et plus de 60 serveurs de substitution qui communiquent avec les bots pour envoyer de nouvelles cibles, ce qui lui permet d’augmenter la taille. du botnet via des attaques par force brute et l’installation de portes dérobées.

Le but principal de KashmirBlack est d’abuser des ressources des systèmes compromis pour l’extraction de crypto-monnaie Monero et de rediriger le trafic légitime d’un site Web vers des pages de spam. Mais il a également été mis à profit pour mener des attaques de dégradation.

Quel que soit le motif, les tentatives d’exploitation commencent par l’utilisation de la vulnérabilité PHPUnit RCE (CVE-2017-9841) pour infecter les clients avec des charges utiles malveillantes de la prochaine étape qui communiquent avec le serveur C2.

Sur la base de la signature d’attaque trouvée lors de ces défections, les chercheurs d’Imperva ont déclaré qu’ils pensaient que le botnet était l’œuvre d’un pirate informatique nommé Exect1337, membre de l’équipe de hackers indonésiens PhantomGhost.

L’infrastructure de KashmirBlack est complexe et comprend un certain nombre de pièces mobiles, y compris deux référentiels séparés – l’un pour héberger les exploits et les charges utiles, et l’autre pour stocker le script malveillant pour la communication avec le serveur C2.

Les bots eux-mêmes sont soit désignés comme un “ bot de propagation ”, un serveur victime qui communique avec le C2 pour recevoir des commandes pour infecter de nouvelles victimes, ou un “ bot en attente ”, une victime nouvellement compromise dont le but dans le botnet reste à définir .

Alors que CVE-2017-9841 est utilisé pour transformer une victime en un bot qui se propage, l’exploitation réussie de 15 failles différentes dans les systèmes CMS conduit un site victime à devenir un nouveau bot en attente dans le botnet. Une vulnérabilité de téléchargement de fichier WebDAV distincte a été utilisée par les opérateurs KashmirBlack pour entraîner une dégradation.

Mais alors que la taille du botnet augmentait et que de plus en plus de robots commençaient à récupérer les charges utiles des référentiels, l’infrastructure a été modifiée pour la rendre plus évolutive en ajoutant une entité d’équilibrage de charge qui renvoie l’adresse de l’un des référentiels redondants nouvellement configurés.

La dernière évolution de KashmirBlack est peut-être la plus insidieuse. Le mois dernier, les chercheurs ont découvert que le botnet utilisait Dropbox en remplacement de son infrastructure C2, abusant de l’API du service de stockage en nuage pour récupérer des instructions d’attaque et télécharger des rapports d’attaque à partir des bots de propagation.

«Le passage à Dropbox permet au botnet de cacher des activités criminelles illégitimes derrière des services Web légitimes», a déclaré Imperva. “C’est encore une autre étape vers le camouflage du trafic du botnet, la sécurisation de l’opération C&C et, surtout, la difficulté de retracer le botnet jusqu’au pirate informatique derrière l’opération.”



Leave a Reply