Специалисты Imperva обнаружили новую кампанию, направленную на веб-серверы с PHP-приложениями. Злоумышленники атакуют их при помощи Python-ботов и используют для продвижения индонезийских игорных платформ.
«В последние два месяца наблюдается значительный объем атак со стороны Python-ботов, что говорит о скоординированных усилиях по эксплуатации тысяч веб-приложений, — гласит отчет исследователей. — Эти атаки, по-видимому, связаны с увеличением количества игорных сайтов, которые официально незаконны в Индонезии».
Компания сообщает, что обнаружила миллионы запросов, исходящих от Python-клиентов, с командой на установку GSocket (он же Global Socket). Это опенсорсный инструмент, который можно использовать для установки канала связи между двумя машинами.
При этом отмечается, что в последнее время GSocket нередко использовался для криптоджекинга, а также внедрения вредоносного JavaScript-кода на сайты с целью кражи платежной информации.
Чаще всего в обнаруженных Imperva атаках наблюдаются попытки развертывания GSocket с использованием существующих веб-шеллов, которые установлены на уже взломанных серверах. В большинстве случаев атакам подвергаются серверы с популярной LMS Moodle. Примечательным аспектом этих атак является изменение файлов bashrc и crontab, обеспечивающее работу GSocket даже после удаления веб-шеллов.
В Imperva сообщают, что доступ, который GSocket предоставляет к целевым серверам, используется для доставки PHP-файлов, содержащих HTML-контент, ссылающийся на онлайновые игорные сервисы, предназначенные для индонезийских пользователей.
«В верхней части каждого PHP-файла находится PHP-код, призванный обеспечить доступ к странице только поисковым ботам, а обычные посетители сайта перенаправляются на другой домен. Конечной целью является направление пользователей, ищущих известные игорные сервисы, на другой домен», — объясняют эксперты.
Обычно такие перенаправления приводят на известный индонезийский игорный сайт pktoto[.]cc.
При этом, по словам исследователей, все проиндексированные сайты не имели никакого отношения к индонезийским азартным играм.
«Это позволяет злоумышленникам беспрепятственно направлять трафик через различные домены. Когда в результате действий правительства один игорный сайт уходит в офлайн, другой может быстро занять его место, обеспечивая минимальный перерыв в работе», — заключают специалисты.
