KashmirBlack Botnet
Forscher haben die Aktivitäten eines hoch entwickelten Botnetzes entdeckt, das sie KashmirBlack genannt haben. Das Botnetz hat eine globale Reichweite und ist für Millionen von Angriffen verantwortlich, die täglich ausgeführt werden. Die Hacker, die hinter den Vorgängen stehen, können das etablierte Botnetz verwenden, um Crypto-Miner-Nutzdaten auf den gefährdeten Geräten bereitzustellen, große Mengen an Spam zu versenden oder Defacement-Kampagnen gegen bestimmte Ziele durchzuführen.
KashmirBlack ist seit mindestens November 2019 in Betrieb und hat es bisher geschafft, Hunderttausende von Computern zu versklaven, die von einem einzigen Command-and-Control-Server (C & C, C2) gesteuert werden. Der Kompromissvektor, der von den Hackern zur Verbreitung ihres Botnetzes missbraucht wird, beruht auf einer PHPUnit RCE-Sicherheitsanfälligkeit, die in gängigen CMS-Programmen (Content Management System) zu finden ist. Obwohl die Sicherheitsanfälligkeit fast ein Jahrzehnt alt ist, kann sie Millionen von Benutzern betreffen, da Unternehmen aufgrund der hastigen COVID-19-Pandemie gezwungen sind, Online-Umgebungen für ihre Mitarbeiter zu entwickeln.
Die Gateway-Sicherheitslücke mag alt sein, aber die anderen Eigenschaften von KashmirBlack sind definitiv der Kurve voraus. Die Hacker haben DevOps-Techniken verwendet, um eine hoch entwickelte Infrastruktur aufzubauen, die gleichzeitig äußerst flexibel ist. Dadurch kann KashmirBlack mit neuen Funktionen, Malware-Nutzdaten und Schwachstellen ausgestattet werden, die schnell ausgenutzt werden können. Die zusätzliche Flexibilität bedeutet, dass die Kriminellen die C & C-Infrastruktur des Botnetzes einfach ändern und ihre Repositories mit beschädigtem Code schnell von einem Dienst auf einen anderen übertragen können. Ein solcher Schritt wurde bereits beobachtet, als KashmirBlack von GitHub zu Dropbox wechselte, um ihre Aktivitäten besser zu verbergen.
Die Kriminellen hinter dem Botnetz sind in der Tat äußerst kompetent und beobachten die Aktionen potenzieller Infosec-Analysten genau. Anscheinend wurde KashmirBlacks Verbindung zu den von den Cybersicherheitsforschern eingerichteten Honeypot-Servern nur drei Tage nach dem ersten Kontakt blockiert.
Derzeit ist die Hacker-Gruppe PhatomGhost der wahrscheinlichste Schuldige hinter dem KashmirBlack-Botnetz. Das in Indonesien ansässige Unternehmen ist bekannt für die Durchführung von Defacement-Kampagnen.
