Un team di ricercatori statunitense ha fornito dei report dettagliati riguardo a una nuova botnet denominata KashmirBlack che, sulla base dei numerosi indizi trovati, si ritiene sia opera di “Exect1337” un membro del gruppo hacker indonesiano PhantomGhost.
Tale botnet utilizzata molto probabilmente per attività di cripto mining, spam e defacement per diffondere ed espandere il proprio raggio di azione (arruolando nuovi bot) si propaga attraverso exploit di note piattaforme CMS (WordPress, Joomla!, PrestaShop, Magento, Drupal, Vbulletin, OsCommerence, OpenCart e Yeager) utilizzando, inoltre, i servizi basati su cloud Github, Pastebin e Dropbox come mezzo per celare e gestire la botnet stessa.
KashmirBlack. modalità di funzionamento
I ricercatori hanno individuato, durante la propria attività di telemetria (avvenuta tra novembre 2019 e fine maggio 2020, seppur la bonet risulti tutt’oggi ancora operativa) circa 700.000 tentativi di attacchi giornalieri con ben 285 bot in azione, ma il numero potrebbe molto probabilmente essere ancor più consistente anche in considerazione dell’evoluzione osservata. La botnet inizialmente di medio volume con capacità standard si è presto trasformata in una ben progettata e complessa infrastruttura, ad oggi, costituita da un server C2 con più di 60 server surrogati come parte integrante del proprio impianto.
Il server di comando e controllo (C2) capace di gestire centinaia di bot svolge principalmente tre compiti:
- fornisce uno script Perl per l’infezione del server vittima;
- riceve dai bot i rapporti sui risultati;
- fornisce ai bot le istruzioni di attacco.
I bot, invece, possono trovarsi secondo necessità in due stati differenti:
- Attivo. I “spreading bot” possono effettuare operazioni tese ad estendere la dimensione della botnet, comunicando con il server C2 per ricevere indicazioni sui nuovi target, eseguire attacchi brute force e installare backdoor come teste di ponte;
- Standby. I “pending bot” restano in attesa di cambiare stato, ascoltando periodicamente il canale di comunicazione instaurato con il server C2.
Vulnerabilità sfruttate per la diffusione
Secondo quanto riportato dallo studio, l’attività monitorata starebbe ancora generando diversi attacchi contro migliaia di vittime sparse in tutte il mondo, diffondendosi grazie alla compromissione di siti web in esecuzione su piattaforme CMS non aggiornate e potenzialmente vulnerabili anche a certi exploit su plugin, librerie e componenti interne:
- PHPUnit Remote Code Execution – CVE-2017-9841
- jQuery file upload vulnerability – CVE-2018-9206
- ELFinder Command Injection – CVE-2019-9194
- Joomla! remote file upload vulnerability
- Magento Local File Inclusion – CVE-2015-2067
- Magento Webforms Upload Vulnerability
- CMS Plupload Arbitrary File Upload
- Yeager CMS vulnerability – CVE-2015-7571
- WordPress TimThumb RFI Vulnerability – CVE-2011-4106
- Uploadify RCE vulnerability
- vBulletin Widget RCE – CVE-2019-16759
- WordPress install.php RCE
- WordPress xmlrpc.php Login Brute-Force attack
- WordPress multiple Plugins RCE
- WordPress multiple Themes RCE
- Webdav file upload vulnerability
Come difendersi
Per impedire e rilevare possibili tentativi di attacco i ricercatori hanno fornito diversi consigli e dettagli tecnici specifici.
In particolare, ciò che raccomandano agli amministratori dei siti web è di assicurare innanzitutto:
- l’aggiornamento periodico e la corretta configurazione non solo dei CMS ma anche degli eventuali moduli extra di terze parti;
- un’adeguata gestione delle password per contrastare gli attacchi brute force;
- una protezione ulteriore dei propri siti, tramite l’adozione di firewall WAF utili per le applicazioni Web;
Un controllo preventivo rimuovendo processi sospetti, plugin e temi inutilizzati oltre che negare l’accesso a file e directory fondamentali di sistema e configurazione PHP.