WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Các trang Drupal phát tán mã độc đào tiền ảo, công cụ RAT và lừa đảo scam
Các trang web Drupal bị tấn công bởi tội phạm mạng bằng cách sử dụng các lỗ hổng Drupalgeddon2 và Drupalgeddon3 có chứa mã độc đào tiền ảo, công cụ quản trị từ xa (RAT) và kỹ thuật lừa đảo scam.
Hai lỗi nghiêm trọng, CVE-2018-7600 và CVE-2018-7602, đều cho phép thực thi mã từ xa đã được vá gần đây trong hệ thống quản lý nội dung Drupal (CMS).
Hacker bắt đầu khai thác Drupalgeddon2, CVE-2018-7600, khoảng hai tuần sau khi bản vá được phát hành và ngay sau khi mã PoC được công bố.
CVE-2018-7602, còn gọi là Drupalgeddon 3, được phát hiện khi nhóm an ninh Drupal và nhà phát triển Jasper Mattsson phân tích CVE-2018-7600. Mattsson cũng là người báo cáo lỗ hổng đầu tiên. Tin tặc bắt đầu khai thác CVE-2018-7602 ngay lập tức sau khi bản vá được phát hành.
Tội phạm mạng khai thác các lỗ hổng với mục đích tấn công máy chủ và lợi dụng chúng để đào tiền ảo. Một số trang web đã bị botnet nhắm mục tiêu cũng bị kéo vào các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Các nhà nghiên cứu tại Malwarebytes gần đây đã tiến hành phân tích các cuộc tấn công máy khách có liên quan đến Drupalgeddon2 và Drupalgeddon3.
Các chuyên gia nhận thấy rằng gần một nửa số trang web Drupal bị tấn công đang chạy phiên bản CMS 7.5.x, trong khi khoảng 30% đang chạy phiên bản 7.3.x, được cập nhật lần cuối vào tháng 8/2015.
Không ngạc nhiên, hơn 80 % các trang web bị tấn công tham gia phục vụ mục đích đào tiền ảo, chủ yếu là chèn Coinhive.
“Chúng tôi đã thu thập các loại mã chèn khác nhau, từ văn bản dạng đơn giản và dạng rõ đến các hình ảnh bị làm mờ. Điều đáng chú ý là trong nhiều trường hợp, mã ở dạng động - rất có thể là một kỹ thuật để tránh bị phát hiện”, các nhà nghiên cứu cho biết trong một bài đăng trên blog.
Chỉ hơn 12 % các cuộc tấn công Malwarebytes quan sát thấy có phát tán RAT hoặc bộ đánh cắp mật khẩu cải trang là các bản cập nhật trình duyệt web.
Các kỹ thuật lừa đảo chiếm gần 7 % các cuộc tấn công máy khách được phát hiện. Trong các cuộc tấn công này, khách truy cập trang web thường bị chuyển hướng đến một trang, trang này cố tình khóa trình duyệt của họ và hướng dẫn họ gọi số "hỗ trợ kỹ thuật".
Tin bài liên quan:
Phát hiện lỗ hổng nghiêm trọng thứ 3 của Drupal – Hãy vá trang của bạn ngay lập tức
Hai lỗi nghiêm trọng, CVE-2018-7600 và CVE-2018-7602, đều cho phép thực thi mã từ xa đã được vá gần đây trong hệ thống quản lý nội dung Drupal (CMS).
Hacker bắt đầu khai thác Drupalgeddon2, CVE-2018-7600, khoảng hai tuần sau khi bản vá được phát hành và ngay sau khi mã PoC được công bố.
CVE-2018-7602, còn gọi là Drupalgeddon 3, được phát hiện khi nhóm an ninh Drupal và nhà phát triển Jasper Mattsson phân tích CVE-2018-7600. Mattsson cũng là người báo cáo lỗ hổng đầu tiên. Tin tặc bắt đầu khai thác CVE-2018-7602 ngay lập tức sau khi bản vá được phát hành.
Tội phạm mạng khai thác các lỗ hổng với mục đích tấn công máy chủ và lợi dụng chúng để đào tiền ảo. Một số trang web đã bị botnet nhắm mục tiêu cũng bị kéo vào các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Các nhà nghiên cứu tại Malwarebytes gần đây đã tiến hành phân tích các cuộc tấn công máy khách có liên quan đến Drupalgeddon2 và Drupalgeddon3.
Các chuyên gia nhận thấy rằng gần một nửa số trang web Drupal bị tấn công đang chạy phiên bản CMS 7.5.x, trong khi khoảng 30% đang chạy phiên bản 7.3.x, được cập nhật lần cuối vào tháng 8/2015.
Không ngạc nhiên, hơn 80 % các trang web bị tấn công tham gia phục vụ mục đích đào tiền ảo, chủ yếu là chèn Coinhive.
“Chúng tôi đã thu thập các loại mã chèn khác nhau, từ văn bản dạng đơn giản và dạng rõ đến các hình ảnh bị làm mờ. Điều đáng chú ý là trong nhiều trường hợp, mã ở dạng động - rất có thể là một kỹ thuật để tránh bị phát hiện”, các nhà nghiên cứu cho biết trong một bài đăng trên blog.
Chỉ hơn 12 % các cuộc tấn công Malwarebytes quan sát thấy có phát tán RAT hoặc bộ đánh cắp mật khẩu cải trang là các bản cập nhật trình duyệt web.
Các kỹ thuật lừa đảo chiếm gần 7 % các cuộc tấn công máy khách được phát hiện. Trong các cuộc tấn công này, khách truy cập trang web thường bị chuyển hướng đến một trang, trang này cố tình khóa trình duyệt của họ và hướng dẫn họ gọi số "hỗ trợ kỹ thuật".
Nguồn: Security Week
Tin bài liên quan:
Phát hiện lỗ hổng nghiêm trọng thứ 3 của Drupal – Hãy vá trang của bạn ngay lập tức