Операторы ботнета KashmirBlack взломали сотни тысяч сайтов под управлением популярных систем управления контентом (CMS) WordPress, Joomla, Magneto и Drupal. Об этом сообщают специалисты компании Imperva.
Ботнет эксплуатирует десятки известных уязвимостей CMS и осуществляет миллионы атак в день.
«Как правило, администраторы сайтов не устанавливают вовремя новые обновления для CMS, поэтому их можно взломать через известные уязвимости. Этот вектор обеспечивает высокую эффективность атак для быстрого роста ботнета», – отмечает аналитик Imperva Офир Шати.
https://forklog.com/wp-content/uploa...w-diagram-.gif
Источник: imperva.com
Один зараженный вредоносным ПО сайт способен ежедневно атаковать 240 хостов или 3450 сайтов. За последние 11 месяцев 285 обнаруженных исследователями систем-ботов даже при минимальной успешности атак взломали около 230 тысяч сайтов.
Операторы KashmirBlack используют для хранения файлов с обновлениями кода легитимные облачные хранилища – Dropbox и GitHub. Для повышения скорости реагирования в инфраструктуру вредоноса включена функция балансировка нагрузки при подключении к командным серверам.
«Ботнет может легко замаскироваться под легитимный трафик. Сервисы не детектируют его, так как бот просто хранит файлы. Нет вредоносного функционала», – объясняют эксперты.
Большинство серверов занимаются майнингом криптовалюты и рассылкой спама, но в некоторых случаях ботнет используется для дефейса – подмены страниц сайтов.
По одной сигнатуре дефейса исследователи нашли ключ к разгадке личности оператора ботнета, хакера Exect1337, который является членом индонезийской хакерской группировки PhantomGhost.
Ранее эксперты предупредили о возросшей активности ботнета Lemon Duck для майнинга Monero.