Threat Database Botnets KashmirBlack Botnet

KashmirBlack Botnet

Les chercheurs ont mis au jour les activités d'un botnet hautement sophistiqué qu'ils ont nommé KashmirBlack. Le botnet a une portée mondiale et est responsable de millions d'attaques menées chaque jour. Les pirates derrière les opérations peuvent utiliser le botnet établi pour déployer des charges utiles de crypto-mineur sur les appareils compromis, fournir de vastes volumes de spam ou mener des campagnes de défacement contre des cibles spécifiques.

KashmirBlack est opérationnel depuis au moins novembre 2019 et a jusqu'à présent réussi à asservir des centaines de milliers d'ordinateurs contrôlés par un seul serveur de commande et de contrôle (C&C, C2). Le vecteur de compromis abusé par les pirates pour propager leur botnet est une vulnérabilité PHPUnit RCE qui se trouve dans les programmes de système de gestion de contenu (CMS) populaires. Bien que la vulnérabilité date de près d'une décennie, elle peut affecter des millions d'utilisateurs potentiellement en raison des entreprises contraintes de développer à la hâte des environnements en ligne pour leurs travailleurs en raison de la pandémie COVID-19.

La vulnérabilité de la passerelle est peut-être ancienne, mais les autres caractéristiques de KashmirBlack sont définitivement en avance sur la courbe. Les hackers ont utilisé des techniques DevOps pour établir une infrastructure sophistiquée qui est, en même temps, extrêmement flexible. Cela permet à KashmirBlack d'être équipé de nouvelles capacités, de charges utiles de logiciels malveillants et de vulnérabilités à exploiter rapidement. Cette flexibilité accrue signifie que les criminels pourraient facilement modifier l'infrastructure C&C du botnet et être en mesure de transférer rapidement leurs référentiels de code corrompu d'un service à un autre. Un tel mouvement a déjà été observé lorsque KashmirBlack est passé de GitHub à Dropbox pour tenter de mieux cacher son activité.

Les criminels derrière le botnet sont en effet extrêmement qualifiés, et ils surveillent de près les actions potentielles des analystes infosec. Apparemment, KashmirBlack aux serveurs de pots de miel mis en place par les chercheurs en cybersécurité a été bloqué trois jours seulement après le contact initial.

Pour l'instant, le groupe de hackers PhatomGhost est le coupable le plus probable derrière le botnet KashmirBlack. Basée en Indonésie, elle est connue pour mener des campagnes de défacement.

Tendance

Le plus regardé

Chargement...