Операторы ботнета, составленного из серверов и смарт-устройств, добавили в его арсенал эксплойт для недавно опубликованной уязвимости удаленного выполнения кода в CMS-системе Drupal. Заплатки для этой весьма опасной бреши, прозванной Drupalgeddon 2, были выпущены в конце марта, и ботоводы, видимо, рассчитывают на то, что не все пользователи успели их установить.

Уязвимость CVE-2018-7600 затрагивает многие подсистемы Drupal версий 6, 7 и 8, предоставляя злоумышленникам широкую площадь атаки. Эксплойт не требует аутентификации и открывает возможность для выполнения команд на сервере.

Бот-сеть, о которой идет речь, в китайской ИБ-компании Qihoo 360 называют Muhstik. Анализ показал, что боты Muhstik являются модификацией Tsunami — хорошо известного IoT-зловреда, долгие годы использовавшегося для создания ботнетов путем заражения Linux-серверов и смарт-устройств. Основным назначением Tsunami являлось проведение DDoS-атак, однако после утечки исходного кода его возможности значительно расширились.

Так, в апреле 2017 года была обнаружена модификация Tsunami, именуемая Amnesia, которая умеет предупреждать свой запуск в виртуальной среде. Другой вариант этого IRC-бота засветился в декабре в ходе брутфорс-атак на сайты WordPress с целью установки майнера Monero.

Боты Muhstik, согласно Qihoo 360, способны проводить DDoS-атаки, а также скрытно устанавливать майнеры XMRig (для добычи Monero) и CGMiner (для майнинга Dash). Этот зловред проникает на сетевые устройства и IoT посредством эксплуатации уязвимостей; сразу после заражения он загружает модуль сканирования, который подключается к своему C&C-серверу (отличному от тех, которые обычно использует Muhstik), скачивает список IP-адресов и начинает искать новые уязвимые устройства.

Первые атаки Muhstik на уязвимость CVE-2018-7600 в Drupal эксперты обнаружили неделю назад. Аналитики из GreyNoise Intelligence в свою очередь отметили, что этот ботнет активизировал также сканы Oracle WebLogic на наличие уязвимости CVE 2017-10271, которая в текущем году неоднократно использовалась для засева криптомайнеров.

В настоящее время Muhstik осуществляет сканирование на следующих портах:

  • 80: Weblogic, WordPress, Drupal, WebDav, ClipBucket
  • 2004: Webuzo
  • 7001: Weblogic
  • 8080: WordPress, WebDav, DasanNetwork Solution

Эксперты предупреждают, что загрузка на ботнет эксплойта к Drupalgeddon 2 способна в разы масштабировать подобные атаки, и примеру операторов Muhstik, скорее всего, последуют  другие злоумышленники, располагающие схожими ресурсами. По этой причине всем пользователям Drupal важно как можно скорее обновить CMS-систему, чтобы закрыть эту возможность для наращивания потенциала IoT-ботнетов.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости