Siber güvenlik araştırmacıları, Endonezya’daki kumar platformlarını tanıtmak için PHP tabanlı uygulamalar çalıştıran web sunucularını hedef alan yeni bir kampanyayı ortaya çıkardı.
Imperva araştırmacısı Daniel Johnston, “Geçtiğimiz iki ay boyunca Python tabanlı botlardan önemli miktarda saldırı gözlemlendi, bu da binlerce web uygulamasından yararlanmaya yönelik koordineli bir çabaya işaret ediyor.” söz konusu bir analizde. “Bu saldırılar, potansiyel olarak kumarla ilgili sitelerin çoğalmasıyla bağlantılı görünüyor. Hükümet denetimi artırıldı“
Thales’in sahibi olduğu şirket, kurulum komutunu içeren bir Python istemcisinden kaynaklanan milyonlarca istek tespit ettiğini söyledi. GSocket (aka Global Socket), ağ çevresinden bağımsız olarak iki makine arasında bir iletişim kanalı oluşturmak için kullanılabilecek açık kaynaklı bir araçtır.
GSocket’in son aylarda birçok cryptojacking operasyonunda kullanıldığını belirtmekte fayda var; hatta ödeme bilgilerini çalmak amacıyla sitelere kötü amaçlı JavaScript kodu eklemek için yardımcı program tarafından sağlanan erişimden faydalanıldığından bahsetmeye bile gerek yok.
Saldırı zincirleri özellikle, zaten güvenliği ihlal edilmiş sunuculara kurulu, önceden var olan web web kabuklarından yararlanarak GSocket’i dağıtma girişimlerini içerir. Saldırıların çoğunun, Moodle adı verilen popüler bir öğrenme yönetim sistemi (LMS) çalıştıran sunucuları hedef aldığı tespit edildi.
Saldırıların dikkat çeken bir yönü ise yapılan eklemeler. bashrc Ve crontab GSocket’in web kabukları kaldırıldıktan sonra bile aktif olarak çalıştığından emin olmak için sistem dosyaları.
GSocket’in bu hedef sunuculara sağladığı erişimin, özellikle Endonezyalı kullanıcılara yönelik çevrimiçi kumar hizmetlerine referans veren HTML içeriğini içeren PHP dosyalarını dağıtmak için silah haline getirildiği belirlendi.
“Her PHP dosyasının üstünde yalnızca arama botlarının sayfaya erişmesine izin verecek şekilde tasarlanmış PHP kodu vardı, ancak normal site ziyaretçileri şuraya yönlendirilecekti: başka bir alan adıJohnston şöyle konuştu: “Bunun arkasındaki amaç, bilinen kumar hizmetlerini arayan kullanıcıları hedeflemek ve ardından onları başka bir alana yönlendirmektir.”
Imperva, yönlendirmelerin “pktoto[.]cc,” bilinen bir Endonezya kumar sitesi.
Gelişme c/side olarak geliyor açıklığa kavuşmuş Yetkisiz yönetici hesapları oluşturmak, uzak bir sunucudan kötü amaçlı bir eklenti yüklemek ve kimlik bilgileri verilerini geri aktarmak için dünya çapında 5.000’den fazla siteyi hedef alan yaygın bir kötü amaçlı yazılım kampanyası.
Bu sitelere JavaScript kötü amaçlı yazılımını dağıtmak için kullanılan tam başlangıç erişim vektörü şu anda bilinmemektedir. Kötü amaçlı yazılımın kod adı, eklentiyi getirmek ve verileri dışarı çıkarmak için kullanılan sunucuyla ilişkili alan adına atıfta bulunularak WP3.XYZ olarak adlandırılmıştır (“wp3″)[.]xyz”).
Saldırıya karşı önlem almak için WordPress site sahiplerinin eklentilerini güncel tutmaları, sahte etki alanını bir güvenlik duvarı kullanarak engellemeleri, şüpheli yönetici hesaplarını veya eklentileri taramaları ve bunları kaldırmaları önerilir.
