Специалисты Австралийского центра кибербезопасности (Australian Cyber Security Centre, ACSC) рассказали об атаках злоумышленников на поставщиков хостинговых услуг. Преступники взламывали уязвимые веб-сервера, чтобы добывать криптовалюту, организовывать мошеннические рекламные и SEO-кампании.

По информации специалистов, атаки начались в ноябре 2017 года, охватив к настоящему времени как минимум восемь провайдеров. Преступники получали доступ к серверам через уязвимые веб-приложения. Эксперты заключили, что взломщики проводили многие операции вручную, подбирая необходимые инструменты для каждой конкретной жертвы. После определения уязвимости преступники загружали на сервер веб-шелл, который позволял им изучить его содержимое и развить атаку.

Для повышения привилегий организаторы кампаний использовали сразу несколько брешей, включая особо опасную TotalMeltdown. Эта дыра появилась в апреле 2018 года после неудачной попытки Microsoft устранить уязвимость Meltdown. Преступники применили эксплойт уже через несколько дней после его публикации в Сети.

После закрепления на зараженном сервере злоумышленники устанавливали на него RAT-вредонос Gh0st. По словам аналитиков, преступники в значительной мере дополнили давно известный специалистам загрузчик, модифицировав используемый сетевой протокол. Если антивирус блокировал нежелательную активность, взломщики снова дорабатывали ПО и возвращались к цели.

В некоторых случаях злоумышленникам требовалось чуть больше часа, чтобы взять очередную жертву под контроль. После этого они устанавливали майнер Monero либо использовали веб-сервер для продвижения сторонних сайтов и товаров. Аналитики оценили ежедневный приток криптовалюты в 28 австралийских долларов (около 1,3 тыс. руб.), а общую прибыль за время кампании — в 3868 австралийских долларов (чуть больше 180 тыс. руб.).

Эксперты рекомендуют провайдерам проверить свои системы на посторонние скрипты и присутствие подозрительных аккаунтов, а также обновить учетные данные. Согласно их советам, сетевые сервисы не должны работать от лица администратора, а работу приложений следует ограничивать по белым спискам.

Клиентам хостинговых провайдеров следует установить актуальные версии своих CMS и веб-приложений, обновить данные для доступа к веб-ресурсам, включая доверенные сертификаты. Специалисты также призывают веб-мастеров интересоваться уровнем безопасности своих поставщиков.

Категории: Вредоносные программы, Кибероборона, Уязвимости, Хакеры