حملات جدید بات‌نت KashmirBlack به وب‌سایت‌های مختلف

۰۶ آبان ۱۳۹۹

محققان امنیتی شرکت ایمپروا در گزارشی جدید، جزئیات کاملی را در رابطه با بات‌نت KashmirBlack منتشر کرده‌اند که نشان می‌دهد این بات‌نت، سرورهای صدها هزار وب‌سایت که اغلب آن‌ها، میزبان سیستم مدیریت محتوا (CMS)، مانند وردپرس، جوملا، دروپال و... هستند را آلوده کرده است.

به گفته محققان امنیتی شرکت ایمپروا، بات‌نت KashmirBlack به‌صورت اختصاصی سرورهای میزبان سیستم‌های مدیریت محتوا را مورد هدف قرار داده است.

براساس اطلاعات موجود، بات‌نت KashmirBlack از ماه نوامبر سال ۲۰۱۹ فعالیت‌های خود را آغاز کرده است.

محققان اظهار کرده‌اند که هدف اصلی این بات‌نت، احتمالا آلوده کردن وب‌سایت‌ها و استفاده از سرورهای آن‌ها برای استخراج ارز دیجیتال، انتقال ترافیک قانونی یک سایت به صفحات جعلی است.

این بات‌نت با اسکن اینترنت، سایت‌هایی را که از نرم‌افزارهای آسیب‌پذیر استفاده می‌کنند را پیدا کرده و سپس با استفاده از اکسپلویت‌‌های از پیش طراحی شده، سایت‌ها و سرورهای آسیب‌پذیر را آلوده می‌کند.

به گفته ایمپروا، بعضی از سرورهای هک شده برای ارسال هرزنامه یا استخراج ارز دیجیتالی و همچنین حمله به سایت‌های دیگر و فعال نگه داشتن بات‌نت مورد استفاده قرار می‌گیرند.

محققان اظهار کرده‌اند که بات‌نت KashmirBlack از نوامبر سال گذشته تاکنون از ۱۶ آسیب‌پذیری بهره‌برداری کرده‌‌ است که عبارتند از:

PHPUnit Remote Code Execution – CVE-2017-9841
jQuery file upload vulnerability – CVE-2018-9206
ELFinder Command Injection – CVE-2019-9194
Joomla! Remote file upload vulnerability
Magento Local File Inclusion – CVE-2015-2067
Magento Webforms Upload Vulnerability
CMS Plupload Arbitrary File Upload
Yeager CMS vulnerability – CVE-2015-7571
WordPress TimThumb RFI Vulnerability – CVE-2011-4106
Uploadify RCE vulnerability
vBulletin Widget RCE – CVE-2019-16759
WordPress install.php RCE
WordPress xmlrpc.php Login Brute-Force attack
WordPress multiple Plugins RCE
WordPress multiple Themes RCE
Webdav file upload vulnerability

اکسپلویت‌های موجود در این فهرست به بات‌نت KashmirBlack اجازه حمله به سایت‌هایی که از وردپرس، جوملا، PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart و Yeager استفاده می‌کنند را می‌دهد.

 

 

توضیحات بیشتر:

KashmirBlack botnet behind attacks on CMSs like WordPress, Joomla, Drupal, others