Os hackers estão a usar vulnerabilidades do Drupal para instalar a backdoor Shellbot

Os hackers estão a usar vulnerabilidades do Drupal para instalar a backdoor Shellbot.

Especialistas de segurança da IBM têm notado que as vulnerabilidades do Drupal, incluindo as falhas CVE-2018-7600 e CVE-2018-7602, também conhecidas como Drupalgeddon2 e Drupalgeddon3, estão a ser usadas pelos hackers de forma a instalarem um backdoor nos sistemas infetados e controlar completamente as plataformas.

Segundo os especialistas da IBM, esta última onda de ataques é conduzida por hackers que são motivados financeiramente e que tentam explorar a falta de gestão de patches em muitos websites baseados em Drupal.

“In a recent investigation, our MSS intelligence analysts discovered that malicious actors are using recent Drupal vulnerabilities to target various websites and possibly the underlying infrastructure that hosts them, leveraging Shellbot to open backdoors.” states the post published by IBM.
“This appears to be a financially motivated effort to mass-compromise websites.”

Foi notado que um grande número de solicitações HTTP POST estão a ser enviadas pelo mesmo endereço IP como parte de um ataque informático generalizado. As solicitações foram usadas pelos invasores para fazer o download de um script Perl para iniciar o backdoor do Shellbot que utiliza um canal IRC (Internet Relay Chat) como C&C.

O bot inclui várias ferramentas para realizar ataques distribuídos de negação de serviço (DDoS) e verificar falhas de injeção de SQL e outras vulnerabilidades, incluindo problemas de escalonamento de privilégios.

O bot foi projetado para automatizar o varrimento de um grande número de websites e comprometer totalmente os vulneráveis.

Os especialistas disseram ainda que o código Shellbot apareceu pela primeira vez em 2005 e que está agora a ser usado por vários grupos APTs. Ele também foi usado na campanha de cryptomining em que estava a ser explorada a vulnerabilidade do CVE-2017-5638 Apache Struts (CVE-2017-5638) em março de 2017.

“It costs a lot of time and money to find or buy a zero-day flaw — two resources cybercriminals are typically not willing to invest. It is much more lucrative to use existing vulnerabilities such as Drupalgeddon and attack code in an automated way, especially when users delay patching and updating their applications,” IBM concludes.

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.