KashmirBlack botnet secuestra miles de sitios que se ejecutan en plataformas de CMS

Una botnet activa, que comprende cientos de miles de sistemas secuestrados distribuidos en 30 países, está explotando «docenas de vulnerabilidades conocidas» para atacar sistemas de administración de contenido (CMS) ampliamente utilizados.

La campaña «KashmirBlack», que se cree que comenzó alrededor de noviembre de 2019, apunta a plataformas de CMS populares como WordPress, Joomla !, PrestaShop, Magneto, Drupal, Vbulletin, OsCommerence, OpenCart y Yeager.

El uso de servicios legítimos en la nube (la botnet también usa GitHub y Pastebin) hace que el tráfico de comunicaciones sea más difícil de detectar, dice Shaty de Imperva.

«La botnet puede camuflarse fácilmente en el tráfico legítimo», dice. «Los servicios no pueden detectarlo porque el bot solo almacena archivos. No hay ninguna funcionalidad maliciosa».

Entre las vulnerabilidades explotadas por la botnet se encuentran las debilidades comunes, como los sistemas que permiten la carga de archivos sin restricciones, la ejecución remota de comandos, la capacidad de atravesar el sistema de directorios y la falta de limitaciones en los intentos de credenciales que permiten adivinar contraseñas por fuerza bruta. Muchos de los exploits apuntan a complementos para WordPress y otros CMS populares.

«Su infraestructura bien diseñada hace que sea fácil de expandir y agregar nuevos exploits o cargas útiles sin mucho esfuerzo, y utiliza métodos sofisticados para camuflarse, no ser detectado y proteger su operación», dijeron los investigadores de Imperva en un análisis de dos partes .

La investigación de seis meses de la firma de ciberseguridad sobre la botnet revela una operación compleja administrada por un servidor de comando y control (C2) y más de 60 servidores sustitutos que se comunican con los bots para enviar nuevos objetivos, lo que le permite expandir el tamaño. de la botnet mediante ataques de fuerza bruta e instalación de puertas traseras.

El propósito principal de KashmirBlack es abusar de los recursos de los sistemas comprometidos para la minería de criptomonedas Monero y redirigir el tráfico legítimo de un sitio web a páginas de spam. Pero también se ha aprovechado para llevar a cabo ataques de desfiguración.

Independientemente del motivo, los intentos de explotación comienzan con el uso de la vulnerabilidad PHPUnit RCE (CVE-2017-9841) para infectar a los clientes con cargas útiles maliciosas de próxima etapa que se comunican con el servidor C2.

La infraestructura de KashmirBlack es compleja y comprende una serie de partes móviles, incluidos dos repositorios separados: uno para alojar exploits y cargas útiles, y el otro para almacenar el script malicioso para la comunicación con el servidor C2.

Los propios bots están designados como un ‘bot de propagación’, un servidor víctima que se comunica con el C2 para recibir comandos para infectar a nuevas víctimas, o un ‘bot pendiente’, una víctima recientemente comprometida cuyo propósito en la botnet aún no se ha definido. 

Si bien CVE-2017-9841 se usa para convertir a una víctima en un bot que se propaga, la explotación exitosa de 15 fallas diferentes en los sistemas CMS lleva a que el sitio de la víctima se convierta en un nuevo bot pendiente en la botnet. Los operadores de KashmirBlack han empleado una vulnerabilidad de carga de archivos WebDAV separada para provocar la desfiguración.