Siber güvenlik araştırmacıları, Endonezya’daki kumar platformlarını tanıtmak için PHP tabanlı uygulamalar çalıştıran web sunucularını hedef alan yeni bir kampanyayı ortaya çıkardı.
Imperva araştırmacısı Daniel Johnston bir analizde, “Geçtiğimiz iki ay boyunca Python tabanlı botlardan önemli miktarda saldırı gözlemlendi, bu da binlerce web uygulamasından yararlanmaya yönelik koordineli bir çabaya işaret ediyor” dedi. “Bu saldırılar kumarla ilgili sitelerin çoğalmasıyla bağlantılı görünüyor ve potansiyel olarak artan hükümet incelemesine bir yanıt olarak.”
Thales’in sahibi olduğu şirket, bir Python istemcisinden kaynaklanan, iki makine arasında bir iletişim kanalı oluşturmak için kullanılabilecek açık kaynaklı bir araç olan GSocket’i (diğer adıyla Global Socket) yükleme komutunu içeren milyonlarca istek tespit ettiğini söyledi. ağ çevresi.
GSocket’in son aylarda birçok cryptojacking operasyonunda kullanıldığını belirtmekte fayda var; hatta ödeme bilgilerini çalmak amacıyla sitelere kötü amaçlı JavaScript kodu eklemek için yardımcı program tarafından sağlanan erişimden faydalanıldığından bahsetmeye bile gerek yok.
Saldırı zincirleri özellikle, zaten güvenliği ihlal edilmiş sunuculara kurulu, önceden var olan web web kabuklarından yararlanarak GSocket’i dağıtma girişimlerini içerir. Saldırıların çoğunun, Moodle adı verilen popüler bir öğrenme yönetim sistemi (LMS) çalıştıran sunucuları hedef aldığı tespit edildi.
Saldırıların dikkat çeken bir yönü de, GSocket’in web kabukları kaldırıldıktan sonra bile aktif olarak çalışmasını sağlamak için bashrc ve crontab sistem dosyalarına yapılan eklemelerdir.
GSocket’in bu hedef sunuculara sağladığı erişimin, özellikle Endonezyalı kullanıcılara yönelik çevrimiçi kumar hizmetlerine referans veren HTML içeriğini içeren PHP dosyalarını dağıtmak için silah haline getirildiği belirlendi.
Johnston, “Her PHP dosyasının üstünde, yalnızca arama botlarının sayfaya erişmesine izin verecek şekilde tasarlanmış PHP kodu vardı, ancak normal site ziyaretçileri başka bir alana yönlendirilecekti.” dedi. “Bunun arkasındaki amaç, bilinen kumar hizmetlerini arayan kullanıcıları hedeflemek ve ardından onları başka bir alana yönlendirmektir.”
Imperva, yönlendirmelerin “pktoto”ya yol açtığını söyledi[.]cc, bilinen bir Endonezya kumar sitesi.
Bu gelişme, c/side’ın yetkisiz yönetici hesapları oluşturmak, uzak bir sunucudan kötü amaçlı bir eklenti yüklemek ve kimlik bilgileri verilerini geri aktarmak için dünya çapında 5.000’den fazla siteyi hedef alan yaygın bir kötü amaçlı yazılım kampanyasını ortaya çıkarmasıyla ortaya çıktı.
Bu sitelere JavaScript kötü amaçlı yazılımını dağıtmak için kullanılan tam başlangıç erişim vektörü şu anda bilinmemektedir. Kötü amaçlı yazılımın kod adı, eklentiyi getirmek ve verileri dışarı çıkarmak için kullanılan sunucuyla ilişkili alan adına atıfta bulunularak WP3.XYZ olarak adlandırılmıştır (“wp3″)[.]xyz”).
Saldırıya karşı önlem almak için WordPress site sahiplerinin eklentilerini güncel tutmaları, sahte etki alanını bir güvenlik duvarı kullanarak engellemeleri, şüpheli yönetici hesaplarını veya eklentileri taramaları ve bunları kaldırmaları önerilir.