KashmirBlack Botnet Membajak Ribuan Situs yang Berjalan Pada Platform CMS Populer

Botnet aktif yang terdiri dari ratusan ribu sistem yang dibajak yang tersebar di 30 negara mengeksploitasi "lusinan kerentanan yang diketahui" untuk menargetkan sistem pengelolaan konten (CMS) yang banyak digunakan.

Kampanye "KashmirBlack", yang diyakini telah dimulai sekitar November 2019, ditujukan untuk platform CMS populer seperti WordPress, Joomla !, PrestaShop, Magneto, Drupal, Vbulletin, OsCommerence, OpenCart, dan Yeager.

"Infrastrukturnya yang dirancang dengan baik memudahkan untuk memperluas dan menambahkan eksploitasi atau muatan baru tanpa banyak usaha, dan menggunakan metode canggih untuk menyamarkan dirinya sendiri, tetap tidak terdeteksi, dan melindungi operasinya," kata peneliti Imperva dalam analisis dua bagian.

Investigasi enam bulan perusahaan keamanan siber ke dalam botnet mengungkapkan operasi kompleks yang dikelola oleh satu server perintah-dan-kontrol (C2) dan lebih dari 60 server pengganti yang berkomunikasi dengan bot untuk mengirim target baru, memungkinkannya untuk memperluas ukurannya. botnet melalui serangan brute force dan pemasangan pintu belakang.

Tujuan utama KashmirBlack adalah untuk menyalahgunakan sumber daya sistem yang dikompromikan untuk penambangan cryptocurrency Monero dan mengarahkan lalu lintas sah situs web ke halaman spam. Tapi itu juga telah dimanfaatkan untuk melakukan serangan perusakan.

Terlepas dari motifnya, upaya eksploitasi dimulai dengan memanfaatkan kerentanan PHPUnit RCE (CVE-2017-9841) untuk menginfeksi pelanggan dengan muatan berbahaya tahap berikutnya yang berkomunikasi dengan server C2.

Berdasarkan tanda serangan yang ditemukan selama perusakan tersebut, peneliti Imperva mengatakan bahwa mereka yakin botnet tersebut adalah karya peretas bernama Exect1337, anggota kru peretas Indonesia PhantomGhost.

Infrastruktur KashmirBlack rumit dan terdiri dari sejumlah bagian yang bergerak, termasuk dua repositori terpisah - satu untuk menampung eksploitasi dan muatan, dan yang lainnya untuk menyimpan skrip berbahaya untuk komunikasi dengan server C2.

Bot itu sendiri ditetapkan sebagai 'bot penyebar', server korban yang berkomunikasi dengan C2 untuk menerima perintah untuk menginfeksi korban baru, atau 'bot tertunda', korban baru yang disusupi yang tujuannya di botnet belum ditentukan.

Sementara CVE-2017-9841 digunakan untuk mengubah korban menjadi bot yang menyebar, eksploitasi yang berhasil dari 15 kekurangan yang berbeda dalam sistem CMS menyebabkan situs korban menjadi bot baru yang tertunda di botnet. Kerentanan unggahan file WebDAV terpisah telah digunakan oleh operator KashmirBlack untuk mengakibatkan perusakan.

Tetapi seperti ukuran botnet dan lebih banyak bot mulai mengambil muatan dari repositori, infrastruktur diubah untuk membuatnya lebih skalabel dengan menambahkan entitas penyeimbang beban yang mengembalikan alamat salah satu repositori redundan yang baru disiapkan.

Evolusi terbaru dari KashmirBlack mungkin yang paling berbahaya. Bulan lalu, para peneliti menemukan botnet menggunakan Dropbox sebagai pengganti infrastruktur C2, menyalahgunakan API layanan penyimpanan cloud untuk mengambil instruksi serangan dan mengunggah laporan serangan dari bot yang menyebar.

"Pindah ke Dropbox memungkinkan botnet menyembunyikan aktivitas kriminal tidak sah di balik layanan web yang sah," kata Imperva. "Ini adalah langkah lain untuk menyamarkan lalu lintas botnet, mengamankan operasi C&C dan, yang paling penting, mempersulit pelacakan botnet kembali ke peretas di balik operasi tersebut."


Posted On 02 November 2020 at 23:03:22


Shared With : Shortlink





Another News
How Democrasies Die? Penulis Steven Levitsky & Daniel Ziblatt dalam bahasa Indonesia

Apakah demokrasi kita dalam bahaya?  Ini adalah pertanyaan yang tidak pernah terpikir akan..

Demo Penolakan Imam Besar Habib Rizieq Syihab di Makassar Dibubarkan Warga

Demonstrasi penolakan imam besar habib rizieq syihab disejumlah daerah di Indonesia. Demonstrasi..

Turki Mengirim Bantuan Obat-Obatan ke Palestina

Turki pada hari Senin mengirim materi bantuan medis ke Palestina untuk membantu perjuangannya..

Pengusaha Turki Membuat Sushi dengan Pastrami Turki yang Pedas

Seorang pengusaha Turki dari provinsi Anatolia tengah Kayseri telah menemukan kombinasi unik dari..

Pfizer-BioNTech Mengajukan Permohonan Izin Darurat UE untuk Vaksin COVID-19

Pfizer Inc dan BioNTech telah mengajukan permohonan kepada regulator obat Eropa untuk otorisasi..

Most Popular Articles
Article
Cara Memperbaiki Foot Step

Foot Step atau pijakan kaki menjadi komponen penting pada motor. Bagian ini sangat menentukaan..

Article
Tips Menjaga Kulit Tetap Putih

Kulit menjadi bagian tubuh terluar yang dapat kita katakan sangat penting. Kenapa ? Karna kulit..