Xakep #305. Многошаговые SQL-инъекции
Известный ИБ-эксперт, журналист и автор блога KrebsOnSecurity Брайан Кребс не раз становится мишенью для атак и издевок хакеров. Дело в том, что Кребс знаменит своими расследованиями и разоблачениями, и за долгие годы своей карьеры он помог найти и деанонимизировать не один десяток преступников, что последним, конечно, совсем не нравится.
Преступники мстят журналисту на протяжении многих лет. Так, домой к Кребсу уже присылали отряд спецназа, брали от его имени кредит на 20 000 долларов, перечисляли 1000 долларов на его счет PayPal с украденной платежной карты, а сам PayPal-аккаунт компрометировали не раз, и даже пытались перевести деньги со счета Кребса террористу запрещенной в России организации ИГИЛ. После разоблачения авторов IoT-малвари Mirai сайт Кребса и вовсе подвергся одной из самых мощных на тот момент DDoS-атак в истории.
Пару лет назад против журналиста и ополчились пользователи немецкого имиджборда Pr0gramm (pr0gramm.com), с которым были связаны операторы криптоджекингового сервиса Coinhive. Обиженные расследованием Кребса пользователи запустили в соцсетях кампанию #KrebsIsCancer («Кребс — это рак»). Дело в том, что на немецкий язык фамилия журналиста, Krebs, переводится как «рак», и на Pr0gramm решили в буквальном смысле «бороться с раком»: потроллили Кребса и в итоге пожертвовали более 120 000 долларов на борьбу с онкозаболеваниями.
Также стоит заметить, что авторы малвари нередко упоминают Брайана Кребса в коде своих программ в качестве своеобразного «привета». По словам журналиста, полный список таких случаев состоял бы из сотен страниц.
Вчера на KrebsOnSecurity появилась публикация, озаглавленная «Нет, я не взламывал ваш сервер MS Exchange». В ней Кребс рассказывает, что теперь «от его имени» происходят атаки на серверы, уязвимые перед проблемами ProxyLogon.
Исследователь пишет, что специалисты Shadowserver Foundation обнаружили, что серверы Microsoft Exchange подвергаются атакам вредоносов KrebsOnSecurity и Yours Truly.
Так, сначала атакующие размещают на уязвимом сервере веб-шелл Babydraco по адресу /owa/auth/babydraco.aspx. Затем посредством PowerShell загружается вредоносный файл krebsonsecurity.exe, обеспечивающий передачу данных между сервером-жертвой и доменом злоумышленников — Krebsonsecurity[.]top.
Эксперты Shadowserver нашли более 21 000 серверов Exchange с установленным бэкдором Babydraco, хотя им неизвестно, сколько из этих систем выполняли загрузку вторичных пейлоадов с мошеннической версии Krebsonsecurity.
«Мотивы киберпреступников, стоящих за доменом Krebonsecurity[.]top, неясны, но сам домен недавно был связан с другими видами киберпреступной активности и с атаками на меня. Впервые я услышал об этом домене в декабре 2020 года, когда один из читателей рассказал мне, что вся его сеть была захвачена ботнетом для майнинга криптовалюты, который связывался с этим доменом», — рассказывает Кребс.
Далее исследователь цитирует декабрьское сообщение читателя:
«Сегодня утром я заметил, что кулер на сервере в моей домашней лаборатории сильно шумит. Сначала я не придал этому значения, но после тщательной чистки и тестирования он все равно шумел. Закончив с другими делами, связанными с работой, я проверил и обнаружил, что в мою систему проник криптомайнер, указывающий на XXX-XX-XXX.krebsonsecurity.top. В итоге он заразил все три Linux-сервера в моей сети».
Кребс объясняет, что вместо «XXX-XX-XXX» в этом адресе значился его номер социального страхования. «Меня задоксили через DNS», — резюмирует он.