Um BotNet ativo que compreende centenas de milhares de sistemas sequestrados espalhados por 30 países está explorando “dezenas de vulnerabilidades conhecidas” para atingir os sistemas de gerenciamento de conteúdo (CMS) amplamente usados.
A campanha “KashmirBlack“, que se acredita ter começado por volta de novembro de 2019, visa plataformas CMS populares, como WordPress, Joomla !, PrestaShop, Magneto, Drupal, Vbulletin, OsCommerence, OpenCart e Yeager.
Sua infraestrutura bem projetada facilita a expansão e a adição de novos exploits ou cargas úteis sem muito esforço e usa métodos sofisticados para se camuflar, permanecer sem ser detectado e proteger sua operação, disseram os pesquisadores da Imperva em uma análise de duas partes .
A investigação de seis meses da firma de segurança cibernética sobre o BotNet revela uma operação complexa gerenciada por um servidor de comando e controle (C2) e mais de 60 servidores substitutos que se comunicam com os bots para enviar novos alvos, permitindo a expansão do tamanho do BotNet via ataques de força bruta e instalação de backdoors.
O objetivo principal do KashmirBlack é abusar dos recursos dos sistemas comprometidos para a mineração de criptomoedas Monero e redirecionar o tráfego legítimo de um site para páginas de spam. Mas também foi aproveitado para realizar ataques de desfiguração.
Independentemente do motivo, as tentativas de exploração começam com o uso da vulnerabilidade PHPUnit RCE (CVE-2017-9841) para infectar clientes com cargas úteis maliciosas de próximo estágio que se comunicam com o servidor C2.
Com base na assinatura do ataque que encontrou durante uma dessas defacações, os pesquisadores da Imperva disseram acreditar que a botnet foi obra de um hacker chamado Exect1337, membro da equipe de hackers indonésios PhantomGhost.
A infraestrutura do KashmirBlack é complexa e compreende várias partes móveis, incluindo dois repositórios separados – um para hospedar exploits e cargas úteis e outro para armazenar o script malicioso para comunicação com o servidor C2.
Os próprios bots são designados como “bot de propagação”, um servidor de vítima que se comunica com o C2 para receber comandos para infectar novas vítimas, ou um “bot pendente”, uma vítima recém-comprometida cujo propósito no BotNet ainda está para ser definido .
Desde novembro de 2019, a Imperva afirma ter visto 16 vulnerabilidades de abuso de BotNet:
- Execução remota de código PHPUnit – CVE-2017-9841
- Vulnerabilidade de upload de arquivo jQuery – CVE-2018-9206
- ELFinder Command Injection – CVE-2019-9194
- Joomla – Vulnerabilidade de upload de arquivo remoto
- Inclusão de arquivo local Magento – CVE-2015-2067
- Vulnerabilidade de upload de Magento Webforms
- Upload de arquivo arbitrário CMS Plupload
- Vulnerabilidade Yeager CMS – CVE-2015-7571
- Múltiplas vulnerabilidades, incluindo upload de arquivo e RCE para muitos plug-ins em várias plataformas aqui
- Vulnerabilidade de RFI do WordPress TimThumb – CVE-2011-4106
- Vulnerabilidade do Uploadify RCE
- Widget vBulletin RCE – CVE-2019-16759
- WordPress install.php RCE
- WordPress xmlrpc.php Login Brute-Force attack
- WordPress Multiple Plugins RCE (veja a lista completa aqui )
- WordPress Multiple Themes RCE (veja a lista completa aqui )
- WebDAV upload de arquivos vulnerabilidade
Enquanto o CVE-2017-9841 é usado para transformar uma vítima em um bot de propagação, a exploração bem-sucedida de 15 falhas diferentes nos sistemas CMS faz com que o site da vítima se torne um novo bot pendente no BotNet. Uma vulnerabilidade de upload de arquivo WebDAV separada foi empregada pelos operadores KashmirBlack para resultar em desfiguração.
Mas assim que o BotNet cresceu em tamanho e mais bots começaram a buscar cargas úteis nos repositórios, a infraestrutura foi ajustada para torná-la mais escalável, adicionando uma entidade balanceadora de carga que retorna o endereço de um dos repositórios redundantes que foram recentemente configurados.
A evolução mais recente de KashmirBlack é talvez a mais insidiosa. No mês passado, os pesquisadores encontraram o BotNet usando o Dropbox como um substituto para sua infraestrutura C2, abusando da API do serviço de armazenamento em nuvem para buscar instruções de ataque e fazer upload de relatórios de ataque dos bots em expansão.
Mudar para o Dropbox permite que o BotNet esconda atividades criminosas ilegítimas por trás de serviços legítimos da web”, disse Imperva. “É mais um passo para camuflar o tráfego do BotNet, protegendo a operação C&C e, mais importante, tornando difícil rastrear o BotNet de volta ao hacker por trás da operação.
