Нова атака към Линукс сървъри използва Drupalgeddon 2

F5 Networks алармират за активна хакерска кампания, при която цел на атаките са Линукс сървъри и доставянето на криптоминьори към тях. Това, което прави настоящите атаки по-особени е, че зловредната програма, с която биват компрометирани машините е написана на програмния език Go. Макар и вече на повече от десет години Golang не е въобще сред предпочитаните от хакерите език за написването на зловредния код. Едва миналата година се появи първата зловредна програма, написана на Go, а регистрираните подобен тип зловреди се броят на пръстите на едната ръка.

Друго, което отличава тази кампания е, че в нея се използват експлойти за няколко известни, но адресирани вече уязвимости, една от които е и Drupalgeddon 2. Въпросната уязвимост (CVE-2018-7600) се явява критичен проблем в CMS платформата Drupal, а експлоатирането ? позволява пълното превземане на ресурси на известната система за управление на съдържание. Сериозният риск, свързан с нея и относително лесното ? експлоатиране, донесе и името ?. След нейното запушване и разкриване от страна на Drupal, последваха многобройни опити за атака към нея.

Неизвестната засега страна, която стои зад атаките, използва pastebin.com за разпространение на зловредния скрипт, използван за разкриване на потенциалните жертви, а самата зловредна програма бива помещавана на компрометирани уеб ресурси – в случая на китайски сайт за електронна търговия, съобщават F5.

Сред атакуваните уязвимости са CVE-2019-9082, засягаща ThinkPHP, както и друга, все още неидентифицирана слабост за платформата, CVE-2019-3396 (Atlassian Confluence) и CVE-2018-7600. Заедно с опитите за експлоатиране на въпросните слабости, хакерите използват и други методи за пробив, като опит за пробив в системи с прости SSH кредитиви, атака към SSH ключовете и атака към слабо защитени Redis масиви. По отношение на последните, хакерите се опитват да се свържат към порта по подразбиране, използван от тях без да използват данни за вписване, а след това и пробвайки лесни за отгатване пароли, като admin, redis, root, 123456, password, user, test и др.

При атаки към SSH портове, атакуващата страна пробва чрез често срещани потребителски имена (root, admins, user и test) и пароли (admins, root, test, user, 123456 и password). Веднъж пробита защитата на машината, хакерите успяват да изпълнят на нея въпросния скрипт от pastebin, а след това и да свалят няколко архива от споменатия китайски сайт, като един от тези архиви, съдържа и зловредната програма, написана на Go, като те биват запазвани в скрита директория с местоположение /tmp/.mysqli, което служи да подведе жертвата. Заплахата се опитва да изключи защитните механизми, които пазят конфигурацията, в това число и SELinux, както и да се установи трайно чрез изпълнението на crontab задача, която инструктира системата да сваля първоначалния bash скрипт всеки 15 минути. След това, бива установена и зловредната програма на основата на Go като услуга, която се опитва да елиминира конкурентни зловредни програми. Заедно с нея се сваля и криптоминьор, който „копае“ за няколко публични криптуслуги. Самите хакери нямат сякаш особен успех, тъй като към момента на доклада на F5, са изкарали малко над $2000, съдейки по портфейлите, свързани с кампанията. Все пак, отбелязват F5, регистрираните опити за сваляне на скрипта от pastebin са над 12 000.

След собствено проучване, от компанията за защита са установили GitHub, който вероятно принадлежи на автора на атаките, като според тях, той може би все още експериментира с по-ограничени ресурси преди да разшири обхвата на действията си.