Hàng ngàn trang web chạy CMS như WordPress, Joomla, Drupal, vBulletin bị bonet tấn công

www.tuoitre.vn -   30/10/2020 12:00:00 1303

Mục đích chính của hệ thống bonet này khi nhắm vào các trang web là lợi dụng tài nguyên của các hệ thống bị xâm phạm để khai thác tiền điện tử Monero, và chuyển hướng lưu lượng truy cập hợp pháp của trang web đến các trang spam.

Hàng ngàn trang web chạy CMS như WordPress

Một mạng botnet gồm hàng trăm nghìn hệ thống trải dài trên 30 quốc gia đã bị phát hiện đang khai thác “hàng chục lỗ hổng đã được công bố” và nhắm mục tiêu vào các hệ thống quản lý nội dung (CMS) phổ biến.

Mạng botnet có tên “KashmirBlack” này được cho là đã bắt đầu hoạt động từ tháng 11 năm 2019, và nhắm vào các hệ thống CMS phổ biến như WordPress, Joomla!, PrestaShop, Magneto, Drupal, Vbulletin, OsCommerence, OpenCart, và Yeager.

“Cơ sở hạ tầng được thiết kế tốt giúp KashmirBlack dễ dàng mở rộng. Nó có thể thêm mã khai thác hoặc payload mới mà không mất nhiều công sức. Đồng thời, mạng botnet này còn áp dụng nhiều kỹ thuật tinh vi để ngụy trang nhằm tránh bị phát hiện, và bảo vệ hoạt động tấn công của mình,” các nhà nghiên cứu của Imperva cho biết.

Cuộc điều tra kéo dài sáu tháng của công ty an ninh mạng đã cho thấy chu trình hoạt động phức tạp của mạng botnet được quản lý bởi một máy chủ command-and-control (C2) và hơn 60 máy chủ thay thế. Các máy chủ này có nhiệm vụ giao tiếp với các bot để gửi mục tiêu mới, và cho phép mạng botnet mở rộng quy mô thông qua các cuộc tấn công dò mật khẩu (brute force), hay cài đặt backdoor.

Mục đích chính của KashmirBlack là lợi dụng tài nguyên của các hệ thống bị xâm phạm để khai thác tiền điện tử Monero, và chuyển hướng lưu lượng truy cập hợp pháp của trang web đến các trang spam. Đồng thời, nó cũng bị lợi dụng để thực hiện các cuộc tấn công thay đổi giao diện (defacement attack).

Hàng ngàn trang web chạy CMS như WordPress

Hiện tại, các nhà nghiên cứu vẫn chưa rõ động cơ tấn công của nhóm tin tặc này, chỉ biết rằng chúng đã bắt đầu tấn công qua việc khai thác lỗ hổng PHPUnit RCE (CVE-2017-9841) để lây nhiễm hệ thống người dùng bằng payload độc hại giao tiếp với máy chủ C2.

Dựa trên chữ ký tìm thấy trong một cuộc tấn công thay đổi giao diện, các nhà nghiên cứu Imperva cho biết họ tin rằng mạng botnet này là tác phẩm của một hacker có tên Exect1337 – là thành viên thuộc nhóm hacker PhantomGhost của Indonesia.

Cơ sở hạ tầng của KashmirBlack rất phức tạp. Nó bao gồm hai kho lưu trữ riêng biệt – một dùng để lưu trữ các mã khai thác cùng payload, và một để lưu trữ tập lệnh độc hại dùng cho việc giao tiếp với máy chủ C2.

Bản thân các bot được chỉ định vào một trong hai nhóm: ‘bot phát tán’ – một máy chủ nạn nhân giao tiếp với C2 để nhận lệnh lây nhiễm nạn nhân mới, hoặc là ‘bot đang chờ’ – một nạn nhân mới bị ảnh hưởng, chưa rõ vai trò trong mạng botnet.

Trong khi lỗ hổng CVE-2017-9841 được sử dụng để biến nạn nhân thành một “bot phát tán”, việc khai thác thành công 15 lỗ hổng khác nhau trên hệ thống CMS khiến các trang web nạn nhân trở thành “bot đang chờ” trong mạng botnet. Bên cạnh đó, một lỗ hổng file upload trên WebDAV có thể bị tin tặc KashmirBlack khai thác để tấn công thay đổi giao diện.

Việc mạng botnet ngày càng phát triển cùng việc nhiều bot bắt đầu tìm nạp payload từ các kho lưu trữ khiến cơ sở hạ tầng phải tinh chỉnh để giúp nó có thể mở rộng hơn. Cơ sở hạ tầng này đã được bổ sung thêm một thành phần cân bằng tải (load balancer), có chức năng trả về địa chỉ của một trong những kho lưu trữ dự phòng mới được thiết lập.

Có lẽ cải tiến gần đây của KashmirBlack là sự phát triển khôn ngoan nhất của mạng botnet này. Tháng trước, các nhà nghiên cứu đã phát hiện botnet đang sử dụng Dropbox để thay thế cho cơ sở hạ tầng C2 cũ của nó. Từ đó, lợi dụng API của dịch vụ lưu trữ đám mây này để gửi các hướng dẫn tấn công, và tải lên các báo cáo tấn công từ các bot phát tán.

“Việc sử dụng Dropbox cho phép botnet này che giấu hoạt động phi pháp của mình đằng sau các dịch vụ web hợp pháp. Đó là một bước cải tiến quan trọng giúp chúng ngụy trang lưu lượng botnet, đảm bảo hoạt động của máy chủ C2, và trên hết là làm cho việc truy tìm dấu vết của mạng botnet và tin tặc đứng sau nó trở nên khó khăn hơn rất nhiều,” Imperva nói.

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...

03/12/2024 12:00:00 23
Nhiều người đã thử đủ mọi cách, thậm chí chia sẻ ảnh chụp màn hình chứa tin nhắn có tên này hoặc đổi...

Cuộc tấn công Microsoft 365 mới có thể p...

02/12/2024 12:00:00 32
Một cuộc tấn công phishing mới có thể truy cập vào tài khoản Microsoft 365, ngay cả khi mục tiêu đã ...

Người dùng chưa đủ 18 tuổi sẽ không được...

29/11/2024 12:00:00 29
Bộ lọc (filter) làm đẹp là một trong những tính năng quan trọng và gây nghiện cho đa số người dùng n...

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...

28/11/2024 12:00:00 24
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiế...

Kỹ thuật hack này có thể cách ly may tín...

27/11/2024 12:00:00 17
Để làm được điều đó, hacker sử dụng cáp SATA như là một ăng-ten không dây để truyền dữ liệu và thông...

Tính năng Email được bảo vệ mới của Gmai...

26/11/2024 08:00:00 26
Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh emai...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button