Обнаружена вредоносная кампания с использованием Drupalgeddon2

По данным специалистов компании IBM, киберпреступники активно эксплуатируют исправленные уязвимости Drupalgeddon2 в системе управления контентом Drupal (в версиях 6, 7 и 8).

В марте нынешнего года в Drupal была исправлена критическая уязвимость CVE-2018-7600, позволяющая захватить полный контроль над сайтом, в том числе над данными, доступ к которым закрыт. В течение нескольких недель после выхода патча были зафиксированы первые попытки эксплуатации уязвимости. Пока киберпреступники использовали ее для установки на взломанные сайты криптовалютных майнеров и бэкдоров, Drupal исправила вторую связанную с Drupalgeddon2 критическую уязвимость.

Тем не менее, как сообщает IBM, в настоящее время обе уязвимости эксплуатируются в серии атак, являющихся частью масштабной кампании, направленной на получение денег. Хотя проблемы были исправлены, несвоевременная установка обновлений делает сайты уязвимыми к кибератакам.

Исследователи зафиксировали HTTP POST-запрос, множество раз отправляемый с одного и того же IP-адреса, а также одинаковый трафик, идущий с нескольких C&C-серверов. Эти запросы используются для загрузки скрипта на Perl, запускающего бэкдор Shellbot, и являются частью масштабной вредоносной кампании.

Shellbot подключается к каналу Internet Relay Chat (IRC) для получения инструкций. Вредонос оснащен функционалом для проведения DDoS-атак и сканером для поиска уязвимостей, в том числе позволяющих осуществить SQL-инъекцию, с целью получения прав суперпользователя на атакуемой системе.

Как пояснили исследователи, благодаря автоматизации процесса эксплуатации уязвимостей злоумышленники могут «прочесывать» большие количества сайтов, прикладывая минимум усилий. В случае успешной эксплуатации уязвимости они могут скомпрометировать web-приложение и даже добраться до операционной системы.

По словам экспертов IBM, покупка или поиск уязвимостей нулевого дня требует значительных затрат времени и денег – ресурсов, чрезвычайно ценных для киберпреступников. Поэтому большинство предпочитают использовать для атак уже известные уязвимости наподобие Drupalgeddon.

Via



Комментарии:

Добавить комментарий