La botnet KashmirBlack secuestra miles de sitios que se ejecutan en populares plataformas de CMS

La botnet KashmirBlack secuestra miles de sitios que se ejecutan en populares plataformas de CMS
Bonet ataca CMS
Modificado por última vez en Viernes, 30 Octubre 2020 13:58
(0 votos)

Se incluyen WordPress, Joomla!, PrestaShop, Magneto, Drupal, Vbulletin, OsCommerence, OpenCart y Yeager

Una botnet activa que comprende cientos de miles de sistemas secuestrados distribuidos en 30 países está explotando "docenas de vulnerabilidades conocidas" para atacar sistemas de administración de contenido (CMS) ampliamente utilizados.

La campaña "KashmirBlack", que se cree que comenzó alrededor de noviembre de 2019, apunta a populares plataformas CMS como WordPress, Joomla!, PrestaShop, Magneto, Drupal, Vbulletin, OsCommerence, OpenCart y Yeager.

"Su bien diseñada infraestructura hace que sea fácil de expandir y agregar nuevos exploits o cargas útiles sin mucho esfuerzo, y utiliza sofisticados métodos para camuflarse, pasar desapercibida y proteger su operación", dijeron los investigadores de Imperva en un análisis de dos partes.

La investigación de seis meses de la firma de ciberseguridad sobre la botnet revela una compleja operación administrada por un servidor de comando y control (C2) y más de 60 servidores sustitutos que se comunican con los bots para enviar nuevos objetivos, permitiéndole expandir el tamaño de la botnet a través de ataques de fuerza bruta e instalación de puertas traseras.

El propósito principal de KashmirBlack es abusar de los recursos de los sistemas comprometidos para la minería de criptomonedas Monero y redirigir el tráfico legítimo de un sitio web a páginas de spam. Pero también se ha aprovechado para llevar a cabo ataques de desfiguración.

Independientemente del motivo, los intentos de explotación comienzan haciendo uso de la vulnerabilidad PHPUnit RCE (CVE-2017-9841) para infectar a los clientes con cargas útiles maliciosas de próxima etapa que se comunican con el servidor C2.

Basándose en la firma del ataque que encontró durante una vez tales desfiguraciones, los investigadores de Imperva dijeron que creían que la botnet era obra de un hacker llamado Exect1337, un miembro del equipo de hackers de Indonesia PhantomGhost.

estructura de la botnet KashmirBlack

La infraestructura de KashmirBlack es compleja y comprende una serie de partes móviles, incluidos dos repositorios separados: uno para albergar exploits y cargas útiles, y el otro para almacenar el script malicioso para la comunicación con el servidor C2.

Los propios bots están designados como un 'bot de propagación', un servidor víctima que se comunica con el C2 para recibir comandos para infectar a nuevas víctimas, o un 'bot pendiente', una víctima recientemente comprometida cuyo propósito en la botnet aún no se ha definido.

Si bien CVE-2017-9841 se usa para convertir a una víctima en un bot que se propaga, la explotación exitosa de 15 fallas diferentes en los sistemas CMS lleva a que el sitio de la víctima se convierta en un nuevo bot pendiente en la botnet. Los operadores de KashmirBlack han empleado una vulnerabilidad de carga de archivos WebDAV separada para provocar la desfiguración.

Pero justo cuando la botnet creció en tamaño y más bots comenzaron a obtener cargas útiles de los repositorios, la infraestructura se modificó para hacerla más escalable al agregar una entidad de equilibrador de carga que devuelve la dirección de uno de los repositorios redundantes que se configuraron recientemente.

La última evolución de KashmirBlack es quizás la más insidiosa. El mes pasado, los investigadores encontraron que la botnet usaba Dropbox como reemplazo de su infraestructura C2, abusando de la API del servicio de almacenamiento en la nube para obtener instrucciones de ataque y cargar informes de ataque de los bots que se propagan.

"Pasar a Dropbox permite a la botnet ocultar la actividad delictiva ilegítima detrás de los servicios web legítimos", dijo Imperva. "Es un paso más para camuflar el tráfico de la botnet, asegurar la operación de C&C y, lo que es más importante, dificultar el rastreo de la botnet hasta el pirata informático que está detrás de la operación".


Comentarios (0)

No hay comentarios escritos aquí

Deja tus comentarios

  1. Publicar comentario como invitado. Regístrate o ingresaa tu cuenta
Archivos adjuntos (0 / 3)
Compartir su ubicación
close

Subscríbete a las últimas noticias, es gratis.