Эксперты компании Trend Micro сообщили об атаках на фреймворк для управления веб-контентом Drupal. Злоумышленники используют уязвимость удаленного исполнения кода, чтобы добывать токены Monero. По мнению специалистов, в дальнейшем эта же брешь может стать источником других угроз.

О проблеме в ядре Drupal стало известно еще в апреле — уязвимость CVE-2018-7602 позволяет редактировать и удалять контент на сайтах под управлением этого фреймворка. По данным разработчиков, продукт используют свыше 1,1 млн сайтов, из которых подавляющее большинство работает на небезопасных версиях 7 и 8.

Отмечается, что взломщики тщательно скрывают свое присутствие с помощью Tor-сетей. Еще одной особенностью является использование для коммуникаций HTTP 1.0, в то время как веб-трафик сегодня, как правило, отправляется с применением более поздних версий протокола.

По информации экспертов, преступники устанавливают загрузчик криптомайнера с помощью shell-скрипта (сценарий командной строки). Перед началом работы зловред — open source продукт XMRig 2.6.3 — проверяет зараженную машину на наличие прочих вредоносов. Далее он меняет имя своего процесса и обращается к файлу /tmp/dvir.pid. Это событие может служить сигналом для администратора — по нему можно обнаружить проникновение.

В качестве превентивной меры безопасности создатели Drupal призывают обновить ядро фреймворка по инструкции на официальном сайте. Это особенно важно сделать владельцам тех ресурсов, которые работают на базе устаревших версий ПО. Кроме того, веб-разработчики, ИБ-специалисты и системные администраторы должны думать о безопасности с самого начала разработки продуктов, защищая приложения, которые хранят и обрабатывают важные пользовательские данные.

Ранее эксперты определили, что Monero более популярен среди злоумышленников, чем биткойн. Причиной тому — лучшая приватность сделок с использованием этой криптовалюты при меньших комиссиях за транзакции. Для добычи токенов киберпреступники применяют множество оригинальных методов: внедряют майнеры в документы Word и фотографии Скарлетт Йоханссон, прячутся за CAPTCHA-сервисами и в модах для видеоигр.

Категории: Уязвимости