Os hackers estão a usar vulnerabilidades do Drupal para instalar a backdoor Shellbot.

Especialistas de segurança da IBM têm notado que as vulnerabilidades do Drupal, incluindo as falhas CVE-2018-7600 e CVE-2018-7602, também conhecidas como Drupalgeddon2 e Drupalgeddon3, estão a ser usadas pelos hackers de forma a instalarem um backdoor nos sistemas infetados e controlar completamente as plataformas.

Segundo os especialistas da IBM, esta última onda de ataques é conduzida por hackers que são motivados financeiramente e que tentam explorar a falta de gestão de patches em muitos websites baseados em Drupal.

“In a recent investigation, our MSS intelligence analysts discovered that malicious actors are using recent Drupal vulnerabilities to target various websites and possibly the underlying infrastructure that hosts them, leveraging Shellbot to open backdoors.” states the post published by IBM.

“This appears to be a financially motivated effort to mass-compromise websites.”

 

Foi notado que um grande número de solicitações HTTP POST estão a ser enviadas pelo mesmo endereço IP como parte de um ataque informático generalizado. As solicitações foram usadas pelos invasores para fazer o download de um script Perl para iniciar o backdoor do Shellbot que utiliza um canal IRC (Internet Relay Chat) como C&C.

Drupal-attacks

O bot inclui várias ferramentas para realizar ataques distribuídos de negação de serviço (DDoS) e verificar falhas de injeção de SQL e outras vulnerabilidades, incluindo problemas de escalonamento de privilégios.

O bot foi projetado para automatizar o varrimento de um grande número de websites e comprometer totalmente os vulneráveis.

Os especialistas disseram ainda que o código Shellbot apareceu pela primeira vez em 2005 e que está agora a ser usado por vários grupos APTs. Ele também foi usado na campanha de cryptomining em que estava a ser explorada a vulnerabilidade do CVE-2017-5638 Apache Struts (CVE-2017-5638) em março de 2017.

It costs a lot of time and money to find or buy a zero-day flaw — two resources cybercriminals are typically not willing to invest. It is much more lucrative to use existing vulnerabilities such as Drupalgeddon and attack code in an automated way, especially when users delay patching and updating their applications,” IBM concludes.

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *