Güvenlik araştırmacıları, kripto para madenciliği, spam gönderme ve zarar verme amaçlı her gün milyonlarca saldırı gerçekleştiren son derece sofistike bir küresel botnet operasyonunu keşfetti.
Kasım 2019 civarında başladığı tahmin edilen KashmirBlack" saldırı kampanyası, WordPress, Joomla, PrestaShop, Magneto, Drupal, Vbulletin, OsCommerence, OpenCart ve Yeager gibi popüler İçerik Yönetim Sistemi (CMS) platformlarını hedefliyor.
KashmirBlack'in birincil amacı, Monero kripto para birimi madenciliği için ele geçirilmiş sistemlerin kaynaklarını kötüye kullanmak ve bir web sitesinin yasal trafiğini spam sayfalarına yönlendirmek.
KashmirBlack, internet üzerinde tarama yaparak eski sürümleri kullanan siteleri tespit edip bilinen güvenlik açıkları ile sunuculara bulaşarak yayılmaya ve devam ediyor.
Eski yazılımları kullanan siteler için interneti tarayarak siteye ve onun temelindeki sunucusuna bulaşmak için bilinen güvenlik açıklarına yönelik açıklardan yararlanıyor.
Botnet’in Kasım 2019’dan bu yana kötüye kullandığı 16 güvenlik açığı şu şekilde.
- PHPUnit Uzaktan Kod Yürütme-CVE-2017-9841
- jQuery Dosya Yükleme Güvenlik Açığı - CVE-2018-9206
- ELFinder Komut Enjeksiyonu-CVE-2019-9194
- Joomla! Uzaktan Dosya Yükleme Güvenlik Açığı
- Magento Yerel Dosya Ekleme-CVE-2015-2067
- Magento Web Formları Yükleme Güvenlik Açığı
- CMS Plupload Rasgele Dosya Yükleme
- Yeager CMS Güvenlik Açığı-CVE-2015-7571
- WordPress TimThumb RFI Güvenlik Açığı-CVE-2011-4106
- RCE güvenlik açığını yükleyin
- vBulletin Widget RCE - CVE-2019-16759
- WordPress install.php RCE
- WordPress xmlrpc.php Giriş Brute-Force attack
- WordPress çoklu Eklentileri RCE
- WordPress çoklu Temalar RCE
- Webdav Dosya Yükleme Güvenlik Açığı
Araştırmacıların son tespiti ise C2 alt yapısı için Dropbox kullanılmış olması. Uzmanlar bu durumun çok büyük tehlike yaratabileceği konusunda uyardı ve saldırının arkasındaki kişilerin tespitinin zorlaştığını belirtti.
