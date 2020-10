Un team di ricercatori statunitense ha fornito dei report dettagliati riguardo a una nuova botnet denominata KashmirBlack che, sulla base dei numerosi indizi trovati, si ritiene sia opera di “Exect1337” un membro del gruppo hacker indonesiano PhantomGhost.

Tale botnet utilizzata molto probabilmente per attività di cripto mining, spam e defacement per diffondere ed espandere il proprio raggio di azione (arruolando nuovi bot) si propaga attraverso exploit di note piattaforme CMS (WordPress, Joomla!, PrestaShop, Magento, Drupal, Vbulletin, OsCommerence, OpenCart e Yeager) utilizzando, inoltre, i servizi basati su cloud Github, Pastebin e Dropbox come mezzo per celare e gestire la botnet stessa.

KashmirBlack: modalità di funzionamento

I ricercatori hanno individuato, durante la propria attività di telemetria (avvenuta tra novembre 2019 e fine maggio 2020, seppur la bonet risulti tutt’oggi ancora operativa) circa 700.000 tentativi di attacchi giornalieri con ben 285 bot in azione, ma il numero potrebbe molto probabilmente essere ancor più consistente anche in considerazione dell’evoluzione osservata.

La botnet KashimirBlack inizialmente di medio volume con capacità standard si è presto trasformata in una ben progettata e complessa infrastruttura, ad oggi, costituita da un server C2 con più di 60 server surrogati come parte integrante del proprio impianto.

Il server di comando e controllo (C2) capace di gestire centinaia di bot svolge principalmente tre compiti:

fornisce uno script Perl per l’infezione del server vittima; riceve dai bot i rapporti sui risultati; fornisce ai bot le istruzioni di attacco.

I bot, invece, possono trovarsi secondo necessità in due stati differenti:

Attivo. I “spreading bot” possono effettuare operazioni tese ad estendere la dimensione della botnet, comunicando con il server C2 per ricevere indicazioni sui nuovi target, eseguire attacchi brute force e installare backdoor come teste di ponte;

Standby. I “pending bot” restano in attesa di cambiare stato, ascoltando periodicamente il canale di comunicazione instaurato con il server C2.

Vulnerabilità sfruttate per la diffusione

Secondo quanto riportato dallo studio, l’attività monitorata starebbe ancora generando diversi attacchi contro migliaia di vittime sparse in tutte il mondo, diffondendosi grazie alla compromissione di siti web in esecuzione su piattaforme CMS non aggiornate e potenzialmente vulnerabili anche a certi exploit su plugin, librerie e componenti interne:

PHPUnit Remote Code Execution – CVE-2017-9841

jQuery file upload vulnerability – CVE-2018-9206

ELFinder Command Injection – CVE-2019-9194

Joomla! remote file upload vulnerability

Magento Local File Inclusion – CVE-2015-2067

Magento Webforms Upload Vulnerability

CMS Plupload Arbitrary File Upload

Yeager CMS vulnerability – CVE-2015-7571

WordPress TimThumb RFI Vulnerability – CVE-2011-4106

Uploadify RCE vulnerability

vBulletin Widget RCE – CVE-2019-16759

WordPress install.php RCE

WordPress xmlrpc.php Login Brute-Force attack

WordPress multiple Plugins RCE

WordPress multiple Themes RCE

Webdav file upload vulnerability

KashmirBlack: come difendersi

Per impedire e rilevare possibili tentativi di attacco i ricercatori hanno fornito diversi consigli e dettagli tecnici specifici.

In particolare, ciò che raccomandano agli amministratori dei siti web è di assicurare innanzitutto: