Key4biz

Cybercrime, la botnet KashmirBlack prende di mira le piattaforme CMS. Come difendersi

Un team di ricercatori statunitense ha fornito dei report dettagliati riguardo a una nuova botnet denominata KashmirBlack che, sulla base dei numerosi indizi trovati, si ritiene sia opera di “Exect1337” un membro del gruppo hacker indonesiano PhantomGhost.

Tale botnet utilizzata molto probabilmente per attività di cripto mining, spam e defacement per diffondere ed espandere il proprio raggio di azione (arruolando nuovi bot) si propaga attraverso exploit di note piattaforme CMS (WordPress, Joomla!, PrestaShop, Magento, Drupal, Vbulletin, OsCommerence, OpenCart e Yeager) utilizzando, inoltre, i servizi basati su cloud Github, Pastebin e Dropbox come mezzo per celare e gestire la botnet stessa.

KashmirBlack: modalità di funzionamento

I ricercatori hanno individuato, durante la propria attività di telemetria (avvenuta tra novembre 2019 e fine maggio 2020, seppur la bonet risulti tutt’oggi ancora operativa) circa 700.000 tentativi di attacchi giornalieri con ben 285 bot in azione, ma il numero potrebbe molto probabilmente essere ancor più consistente anche in considerazione dell’evoluzione osservata.

La botnet KashimirBlack inizialmente di medio volume con capacità standard si è presto trasformata in una ben progettata e complessa infrastruttura, ad oggi,  costituita da un server C2 con più di 60 server surrogati come parte integrante del proprio impianto.

Il server di comando e controllo (C2) capace di gestire centinaia di bot svolge principalmente tre compiti:

  1. fornisce uno script Perl per l’infezione del server vittima;
  2. riceve dai bot i rapporti sui risultati;
  3. fornisce ai bot le istruzioni di attacco.   

I bot, invece, possono trovarsi secondo necessità in due stati differenti:

Vulnerabilità sfruttate per la diffusione

Secondo quanto riportato dallo studio, l’attività monitorata starebbe ancora generando diversi attacchi contro migliaia di vittime sparse in tutte il mondo, diffondendosi grazie alla compromissione di siti web in esecuzione su piattaforme CMS non aggiornate e potenzialmente vulnerabili anche a certi exploit su plugin, librerie e componenti interne:

KashmirBlack: come difendersi

Per impedire e rilevare possibili tentativi di attacco i ricercatori hanno fornito diversi consigli e dettagli tecnici specifici.

In particolare, ciò che raccomandano agli amministratori dei siti web è di assicurare innanzitutto:

Exit mobile version