info@difesaesicurezza.com

Cybercrime, ecco KashmirBlack: la botnet che prende di mira WordPress

Cybercrime, ecco KashmirBlack: la botnet che prende di mira WordPress

di Pierguido Iezzi

Si chiama KashmirBlack ed è una botnet interamente concertata sulle attività di cryptomining, phishing e malspam. Prende di mira soprattutto i siti web che utilizzano CMS come WordPress

Una botnet del cybercrime – interamente concertata sulle attività di cryptomining, phishing e malspam – ha infettato centinaia di migliaia di siti in tutto il mondo. Ciò andando in particolare a colpire quelli che utilizzano i CMS (Content Management System) più diffusi al momento come WordPress, ma anche Joomla, Magneto e Drupal. Secondo i ricercatori di Imperva, la botnet – soprannominata KashmirBlack – è in grado di utilizzare un’infrastruttura modulare che include funzionalità avanzate come cloud storage dei suoi file (Dropbox e GitHub sembrano essere i preferiti) e load balancing delle comunicazioni che effettua da e verso i server di comand and control.

I numeri della botnet

I numeri di KashmirBlack sono sicuramente impressionanti: oltre ad avere un vastissimo numero di target a disposizione, riesce a sfruttare decine di vulnerabilità note su server mirati che le permettono di compiere milioni di attacchi nell’arco di sole 24 ore. A questo va aggiunta la naturale criticità di questo tipo di bersagli, appunto i CMS, proprio perché spesso questi non vengono tenuti aggiornati e quindi possono essere compromessi con vulnerabilità già pubbliche e note (anche da anni in alcuni casi). Una scelta sicuramente azzecca quella dei Criminal Hacker, che con poco sforzo sono riusciti a costruire una botnet enorme, in grado di crescere a ritmi impressionanti.

Grazie a un’Honeypot si è scoperto che circa 230mila siti sono stati compromessi negli ultimi 11 mesi

Per dare un’idea del modus operandi di questa infezione, i ricercatori di cyber security hanno creato un server ad hoc (un vero e proprio honeypot) su cui era stato installato uno dei CMS vulnerabili. Una volta colpito da KashmirBlack questo ha permesso agli esperti di raccogliere comandi e script che sono stati comunicati al server C2. Quando un sito compromesso era impostato per continuare a diffondere la rete, questo avrebbe attaccato una media di 240 host, ovvero 3.450 siti vittime, ogni giorno. Con 285 sistemi osservati che tentavano di diffondere il software bot per diversi mesi e un tasso di successo ipotizzato dell’1%, i ricercatori hanno stimato che circa 230mila siti siano stati compromessi negli ultimi 11 mesi. L’architettura ad alte prestazioni della botnet, progettata per facilitare l’aggiornamento è il suo altro grande punto di forza. Utilizza, infatti, due cluster di sistemi infetti come repository per il codice e gli exploit e divide i sistemi infettati in quelli che cercano attivamente nuovi bot e un gruppo più ampio in attesa di istruzioni. Le funzionalità di load balancing sono state aggiunte ai repository per aumentare la reattività e la disponibilità.

La botnet del cybercrime è in continua evoluzione

Come se non bastasse, la botnet è cambiata rapidamente nell’ultimo anno. A settembre, per esempio, gli operatori del cybercrime hanno cambiato la sua capacità di Comand and Control per utilizzare l’API Dropbox e per memorizzare i log delle sue operazioni. L’utilizzo di servizi cloud legittimi – come GitHub e Pastebin – rende il traffico più difficile da individuare. Tra le vulnerabilità sfruttate dalla botnet ci sono le comuni CVE, come quelle che permettono il caricamento senza restrizioni di file, l’esecuzione di comandi da remoto e molte altre…

Di seguito la lista di alcune CVE che al momento la botnet sta attivamente sfruttando:

  • PHPUnit Remote Code Execution – CVE-2017-9841
  • jQuery file upload vulnerability – CVE-2018-9206
  • ELFinder Command Injection – CVE-2019-9194
  • Magento Local File Inclusion – CVE-2015-2067
  • Yeager CMS vulnerability – CVE-2015-7571
  • WordPress TimThumb RFI Vulnerability – CVE-2011-4106
  • vBulletin Widget RCE – CVE-2019-16759

Molti degli exploit prendono di mira i plug-in per WordPress e altri popolari CMS. La maggior parte dei server ha il compito di portare avanti attività di Cryptomining o di fungere da tramite per spam e phishing.

Come difendersi da KashmirBlack

Questo tipo di attacco potrebbe essere molto difficile da rilevare perché, come detto, è stato progettato per essere altamente “silenzioso”. Il primo step per assicurarsi che KashmirBlack non sia in grado di colpire il nostro sito è quello di effettuare regolari attività di security testing, in particolare di Web App Scan. Ciò permette di identificare le vulnerabilità e criticità di cybersecurity di siti web oltre che delle applicazioni Web. Grazie a questa analisi delle vulnerabilità si possono immediatamente quantificare i livelli di rischio e indicare le azioni correttive e di riposizionamento necessarie per il ripristino di un perimetro sicuro. Per rilevare eventuali attività della botnet è comunque bene affidarsi ai servizi di Cyber Threat Intelligence, in grado di incrociare dati disponibili a livello OSINT e CLOSINT per comprendere il nostro livello di esposizione al rischio.

Non abbassiamo la guardia!

 

Francesco Bussoletti

TwitterFacebook

Articoli correlati

Cybercrime, Breached chiude i battenti davvero?
Baphomet ferma le attività dell’erede di RaidForums, specializzato nei data leak, dopo l’arresto di Pompompurin. Il canale e il gruppo Telegram, però, rimarranno aperti e ne nascerà uno nuovo.
Back To Top