Специалисты компании Akamai Technologies выяснили, что злоумышленники все еще пользуются уязвимостью Drupalgeddon2, пропатченной полтора года назад. Исследователи обнаружили следы атак в журналах сканеров безопасности, а также провели анализ полезной нагрузки, найденной на одном из скомпрометированных сайтов.

По мнению экспертов, текущая кампания относительно скромная: она нацелена на отдельные сайты с большим трафиком и не имеет отраслевой направленности.

В руки ИБ-специалистов попали два объекта, найденных на бразильском веб-ресурсе. Обфусцированный вредоносный код размещен в GIF-файле, а незашифрованный Perl-сценарий для коммуникаций с C&C-сервером — в текстовом документе.

Сценарий новых атак через Drupalgeddon2

Перед запуском скриптов злоумышленники ищут и удаляют предыдущие варианты полезной нагрузки, а также изменяют ключевые настройки сайта. Файл index.inc.gif содержит PHP-код, зашифрованный при помощи алгоритмов base64, rot13 и архиватора gzip. Вредоносный сценарий пытается выполнить следующие команды:

  • запуск собственной веб-оболочки;
  • распаковка и удаленный запуск скриптов;
  • поиск учетных данных на диске и отправка их злоумышленникам;
  • замена файла конфигурации .htaccess;
  • вывод системной информации и конфигурации SQL-базы;
  • переименование файлов на целевой машине.

Вторая часть полезной нагрузки находится в текстовом файле — это набор команд для подключения к IRC-чату, через который идет связь скомпрометированного ресурса с центром управления. Скрипт позволяет собирать информацию об уязвимой системе, использовать ее для DDoS-атак и перехватывать управление сайтом. По мнению специалистов, злоумышленники использовали готовый код, доступный в даркнете, изменив часть сценария для своих целей.

Разработчики Drupal исправили уязвимость Drupalgeddon2 в марте 2018 года. Баг позволяет неавторизованному злоумышленнику удаленно выполнить код на сайте, работающем под управлением CMS версий с 3.3 по 8.5. Проблема зарегистрирована как CVE-2018-7600 и получила критический уровень угрозы по шкале CVSS.

Категории: Уязвимости, Хакеры