Исследователи из компании Imperva выяснили (1, 2), что ботнет KashmirBlack, активный с конца 2019 года, заразил сотни тысяч сайтов, работающих на базе популярных CMS, в том числе WordPress, Joomla, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart и Yeager.

Как правило, ботнет использует серверы зараженных ресурсов для добычи криптовалюты, перенаправляет легитимный трафик на спам-сайты, задействует взломанные сайты для атак на другие ресурсы и поддержания своей активности, а порой и вовсе устраивает дефейсы.

Специалисты пишут, что изначально KashmirBlack был небольшим ботнетом, однако за прошедшие месяцы он разросся и превратился угрозу, способную атаковать тысячи сайтов в день. Наиболее радикальные изменения в работе малвари произошли в мае 2020 года, когда ботнет расширил управляющую инфраструктуру и свой арсенал эксплоитов. Так, исследователи пишут, что в настоящее время KashmirBlack управляется одним C&C-сервером, но использует более 60 серверов (в основном взломанные ресурсы) в своей инфраструктуре.

«KashmirBlack взаимодействует с сотнями ботов, каждый из которых обменивается данными с управляющим сервером, чтобы получить список новых целей, выполнить брутфорс-атаку, установить бэкдоры и работать над расширением ботнета», — гласит отчет компании.

Основной способ распространения KashmirBlack — сканирование интернета в поисках сайтов, которые работают под управлением устаревшего ПО. Затем малварь задействует эксплоиты для различных известных уязвимостей, чтобы взломать уязвимый сайт и захватить его сервер. ­По данным Imperva, ботнет активно злоупотребляет 16 уязвимостями:

Исследователи Imperva отмечают, что, по их мнению, данный ботнет — это дело рук  хакера, известного под псевдонимом Exect1337, который входит в индонезийскую хакерскую группу PhantomGhost.

Оставить мнение