Специалисты компании Impreva смогли получить больше информации по сложному глобальному ботнету, который осуществляет миллионы атак ежедневно, начиная от рассылки спама и заканчивая майнингом криптовалюты.
Ботнет получил название KashmirBlack. О нём впервые стало известно с ноября 2019 г., когда его распространение производилось киберпреступниками с помощью эксплуатации уязвимости PHPUnit RCE в популярном программном обеспечении CMS. В компании Impreva отметили, что из-за пандемии, когда многие организации старались расширить свое присутствие в интернете с помощью таких платформ, произошло существенное увеличение жертв ботнета KashmirBlack.
ИБ-эксперты компании Impreva заявляют, что ботнет KashmirBlack имеет более сложную инфраструктуру, чем большинство его аналогов. В частности, его операторы используют методы DevOps, чтобы увеличить гибкость и обеспечить возможность быстрого и легкого добавления новых полезных нагрузок и эксплойтов.
Эта гибкость, достигаемая ботнетом KashmirBlack с помощью DevOps, означает, что ботнет может быстро менять репозитории, такие как GitHub, где хранится вредоносный код, а также собственную инфраструктуру C&C, которая, по наблюдениям компании Impreva, недавно перешла на сервис Dropbox для скрытия своих следов.
Предполагается, что прямую связь с ботнетом KashmirBlack имеет киберпреступная группа PhantomGhost из Индонезии.
Офир Шати, специалист по информационной безопасности компании Impreva, заметил: «Это первый раз, когда мы смогли получить представление о том, как именно работает ботнет KashmirBlack и его аналоги. Мы считаем это важным открытием, которое поможет всей отрасли кибербезопасности лучше понять, как эти гнусные хакерские группы развиваются и поддерживают свою деятельность».
В исследовании компании Impreva говорится о том, что распространение ботнета KashmirBlack – это отточенная операция с применением новейших технологий в сфере разработки программного обеспечения. Учитывая тот факт, что на данный момент насчитываются миллионы его жертв по всему миру, достигнутый уровень реализации вызывает беспокойство у специалистов по кибербезопасности – когда сервер находится под контролем киберпреступников, они могут скомпрометировать другие серверы в домене как по эффекту домино, что станет причиной возможной утечки данных, ухудшении репутации компании, потери доходов.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ