Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Кроме Drupal, ботнет, составленный из серверов и смарт-устройств, активно атакует Wordpress и Oracle WebLogic.
Операторы ботнета, составленного из серверов и смарт-устройств, добавили в его арсенал эксплойт для недавно опубликованной уязвимости удаленного выполнения кода в CMS-системе Drupal. Заплатки для этой весьма опасной бреши, прозванной Drupalgeddon 2, были выпущены в конце марта, и ботоводы, видимо, рассчитывают на то, что не все пользователи успели их установить.
Уязвимость CVE-2018-7600 затрагивает многие подсистемы Drupal версий 6, 7 и 8, предоставляя злоумышленникам широкую площадь атаки. Эксплойт не требует аутентификации и открывает возможность для выполнения команд на сервере.
Бот-сеть, о которой идет речь, в китайской ИБ-компании Qihoo 360 называют Muhstik. Анализ показал, что боты Muhstik являются модификацией Tsunami — хорошо известного IoT-зловреда, долгие годы использовавшегося для создания ботнетов путем заражения Linux-серверов и смарт-устройств. Основным назначением Tsunami являлось проведение DDoS-атак, однако после утечки исходного кода его возможности значительно расширились.
Так, в апреле 2017 года была обнаружена модификация Tsunami, именуемая Amnesia, которая умеет предупреждать свой запуск в виртуальной среде. Другой вариант этого IRC-бота засветился в декабре в ходе брутфорс-атак на сайты WordPress с целью установки майнера Monero.
Боты Muhstik, согласно Qihoo 360, способны проводить DDoS-атаки, а также скрытно устанавливать майнеры XMRig (для добычи Monero) и CGMiner (для майнинга Dash). Этот зловред проникает на сетевые устройства и IoT посредством эксплуатации уязвимостей; сразу после заражения он загружает модуль сканирования, который подключается к своему C&C-серверу (отличному от тех, которые обычно использует Muhstik), скачивает список IP-адресов и начинает искать новые уязвимые устройства.
Первые атаки Muhstik на уязвимость CVE-2018-7600 в Drupal эксперты обнаружили неделю назад. Аналитики из GreyNoise Intelligence, в свою очередь, отметили, что этот ботнет активизировал также сканы Oracle WebLogic на наличие уязвимости CVE 2017-10271, которая в текущем году неоднократно использовалась для засева криптомайнеров.
В настоящее время Muhstik осуществляет сканирование на следующих портах:
Эксперты предупреждают, что загрузка на ботнет эксплойта к Drupalgeddon 2 способна в разы масштабировать подобные атаки, и примеру операторов Muhstik, скорее всего, последуют и другие злоумышленники, располагающие схожими ресурсами. По этой причине всем пользователям Drupal важно как можно скорее обновить CMS-систему, чтобы закрыть эту возможность для наращивания потенциала IoT-ботнетов.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |