Một mạng botnet gồm hàng trăm nghìn hệ thống trải dài trên 30 quốc gia đã bị phát hiện đang khai thác “hàng chục lỗ hổng đã được công bố” và nhắm mục tiêu vào các hệ thống quản lý nội dung (CMS) phổ biến.
Mạng botnet có tên “KashmirBlack” này được cho là đã bắt đầu hoạt động từ tháng 11 năm 2019, và nhắm vào các hệ thống CMS phổ biến như WordPress, Joomla!, PrestaShop, Magneto, Drupal, Vbulletin, OsCommerence, OpenCart, và Yeager.
“Cơ sở hạ tầng được thiết kế tốt giúp KashmirBlack dễ dàng mở rộng. Nó có thể thêm mã khai thác hoặc payload mới mà không mất nhiều công sức. Đồng thời, mạng botnet này còn áp dụng nhiều kỹ thuật tinh vi để ngụy trang nhằm tránh bị phát hiện, và bảo vệ hoạt động tấn công của mình,” các nhà nghiên cứu của Imperva cho biết.
Cuộc điều tra kéo dài sáu tháng của công ty an ninh mạng đã cho thấy chu trình hoạt động phức tạp của mạng botnet được quản lý bởi một máy chủ command-and-control (C2) và hơn 60 máy chủ thay thế. Các máy chủ này có nhiệm vụ giao tiếp với các bot để gửi mục tiêu mới, và cho phép mạng botnet mở rộng quy mô thông qua các cuộc tấn công dò mật khẩu (brute force), hay cài đặt backdoor.
Mục đích chính của KashmirBlack là lợi dụng tài nguyên của các hệ thống bị xâm phạm để khai thác tiền điện tử Monero, và chuyển hướng lưu lượng truy cập hợp pháp của trang web đến các trang spam. Đồng thời, nó cũng bị lợi dụng để thực hiện các cuộc tấn công thay đổi giao diện (defacement attack).
Hiện tại, các nhà nghiên cứu vẫn chưa rõ động cơ tấn công của nhóm tin tặc này, chỉ biết rằng chúng đã bắt đầu tấn công qua việc khai thác lỗ hổng PHPUnit RCE (CVE-2017-9841) để lây nhiễm hệ thống người dùng bằng payload độc hại giao tiếp với máy chủ C2.
Dựa trên chữ ký tìm thấy trong một cuộc tấn công thay đổi giao diện, các nhà nghiên cứu Imperva cho biết họ tin rằng mạng botnet này là tác phẩm của một hacker có tên Exect1337 – là thành viên thuộc nhóm hacker PhantomGhost của Indonesia.
Cơ sở hạ tầng của KashmirBlack rất phức tạp. Nó bao gồm hai kho lưu trữ riêng biệt – một dùng để lưu trữ các mã khai thác cùng payload, và một để lưu trữ tập lệnh độc hại dùng cho việc giao tiếp với máy chủ C2.
Bản thân các bot được chỉ định vào một trong hai nhóm: ‘bot phát tán’ – một máy chủ nạn nhân giao tiếp với C2 để nhận lệnh lây nhiễm nạn nhân mới, hoặc là ‘bot đang chờ’ – một nạn nhân mới bị ảnh hưởng, chưa rõ vai trò trong mạng botnet.
Trong khi lỗ hổng CVE-2017-9841 được sử dụng để biến nạn nhân thành một “bot phát tán”, việc khai thác thành công 15 lỗ hổng khác nhau trên hệ thống CMS khiến các trang web nạn nhân trở thành “bot đang chờ” trong mạng botnet. Bên cạnh đó, một lỗ hổng file upload trên WebDAV có thể bị tin tặc KashmirBlack khai thác để tấn công thay đổi giao diện.
Việc mạng botnet ngày càng phát triển cùng việc nhiều bot bắt đầu tìm nạp payload từ các kho lưu trữ khiến cơ sở hạ tầng phải tinh chỉnh để giúp nó có thể mở rộng hơn. Cơ sở hạ tầng này đã được bổ sung thêm một thành phần cân bằng tải (load balancer), có chức năng trả về địa chỉ của một trong những kho lưu trữ dự phòng mới được thiết lập.
Có lẽ cải tiến gần đây của KashmirBlack là sự phát triển khôn ngoan nhất của mạng botnet này. Tháng trước, các nhà nghiên cứu đã phát hiện botnet đang sử dụng Dropbox để thay thế cho cơ sở hạ tầng C2 cũ của nó. Từ đó, lợi dụng API của dịch vụ lưu trữ đám mây này để gửi các hướng dẫn tấn công, và tải lên các báo cáo tấn công từ các bot phát tán.
“Việc sử dụng Dropbox cho phép botnet này che giấu hoạt động phi pháp của mình đằng sau các dịch vụ web hợp pháp. Đó là một bước cải tiến quan trọng giúp chúng ngụy trang lưu lượng botnet, đảm bảo hoạt động của máy chủ C2, và trên hết là làm cho việc truy tìm dấu vết của mạng botnet và tin tặc đứng sau nó trở nên khó khăn hơn rất nhiều,” Imperva nói.
Thêm bình luận