研究人员最近发现了一个活跃的僵尸网络,该僵尸网络由30个国家/地区的数十万个被劫持系统组成,这些系统正在利用“数十个已知漏洞”,目标是广泛使用的内容管理系统(CMS)。据悉,“KashmirBlack”活动于2019年11月左右开始,针对WordPress、Joomla!、PrestaShop、Magneto、Drupal、Vbulletin、OsCommerence、OpenCart和Yeager等流行的CMS平台。“其精心设计的基础设施使其易于扩展和添加新的漏洞利用或有效载荷,并且它使用复杂的方法来伪装自己免受检测并保护其运行。”这家网络安全公司对KashmirBlack僵尸网络进行了为期六个月的调查,结果显示该复杂操作由一个命令和控制(C2)服务器以及与僵尸网络交互的60多台代理服务器管理。通过通信发送新目标以获得访问权限僵尸网络通过暴力攻击和安装后门,增加僵尸网络的规模。KashmirBlack的主要目的是滥用Monero加密货币挖掘系统的资源,并将网站的合法流量重定向到垃圾邮件页面,但它也被用来无论动机如何,攻击尝试都是从利用PHPUnitRCE漏洞(CVE-2017-9841)开始,用与C2服务器通信的下一阶段恶意负载感染客户。Imperva研究人员发现,根据攻击特征在之前的此类攻击中看到,他们认为僵尸网络是由名为Exect1337的黑客运行的,该黑客是印度尼西亚黑客组织Ph的成员蚂蚁鬼。KashmirBlack的基础设施很复杂,包括多个移动部分,包括两个独立的存储库,一个托管漏洞利用和有效负载,另一个存储恶意脚本以与C2服务器通信。僵尸程序本身要么被指定为“传播僵尸程序”,即与C2通信以接收命令以感染新受害者的受害者服务器,要么被指定为“待决僵尸程序”,即新近受到威胁的受害者,其在僵尸网络中的角色尚未确定确定。当CVE-2017-9841被用来将受害者变成一个传播机器人时,成功利用CMS系统中的15个不同漏洞将导致受害者站点成为僵尸网络中新的待处理机器人,KashmirBlack运营商单独的WebDAV文件上传利用被用来造成损害。但随着僵尸网络规模的扩大以及越来越多的机器人开始从存储库中获取有效载荷,基础设施得到了调整,添加了一个负载平衡器对象以返回新设置的冗余存储库地址,使其更具可扩展性。最新版本的KashmirBlack可能非常危险。上个月,研究人员发现该僵尸网络使用Dropbox替换其C2基础设施,滥用云存储服务的API从蔓延的僵尸网络获取攻击指令和上传攻击报告。Imperva研究人员发现,迁移到Dropbox后,僵尸网络可以在非法犯罪活动中隐藏合法的Web服务。这是伪装僵尸网络流量、保护C&C操作的关键步骤,最重要的是,它使研究人员难以追踪僵尸网络以找到攻击背后的组织。本文翻译自:https://thehackernews.com/2020/10/kashmirblack-botnet-hijacks-thousands.html
