Злоумышленники сканируют интернет в поисках установок CWP и через старую уязвимость устанавливают на атакуемый сервер бэкдор и руткит.
Профессиональная киберпреступная группировка атакует Linux-серверы, устанавливая на них руткиты и бэкдоры через уязвимость в web-хостинговом ПО.
Если говорить точнее, злоумышленники взламывают Control Web Panel (старое название CentOS Web Panel) – ПО, работающее по одному принципу с более известным инструментом cPanel, использующимся web-хостинговыми компаниями и крупными предприятиями для хостинга и управления масштабной серверной инфраструктурой.
Как минимум с февраля нынешнего года киберпреступная группировка сканирует интернет в поисках установок CWP, с помощью эксплоита для старой уязвимости получает доступ к панели администрирования и устанавливает бэкдор Facefish. Его главным предназначением является сбор информации об устройстве, выполнение произвольных команд и похищение учетных данных SSH с инфицированного хоста.
В ходе атак, обнаруженных исследователями компаний Juniper и Qihoo 360 , также используется редкий руткит, который злоумышленники устанавливают на взломанных Linux-серверах с целью обеспечения персистентности. Тем не менее, несмотря на большое количество времени, прошедшего с момента начала атак, на взломанных серверах не наблюдается практически никакой активности. К примеру, хакеры не установили майнеры криптовалюты, как того можно было ожидать.
По мнению специалистов Juniper, целью злоумышленников было создание ботнета, и они намерены продавать или сдавать в аренду доступ к сетям взломанных компаний тем, кто предложит наиболее выгодную цену. Поскольку CWP обычно используется для управления большими и важными сетями серверов, доступ к любой такой системе будет высоко цениться у киберпреступников, в частности, у операторов вымогательского ПО.
Ни Juniper, ни Qihoo 360 не сообщили CVE-идентификатор уязвимости, о которой идет речь (также неизвестно, есть ли у нее вообще CVE), зато представили свои эксплоиты. IT-специалисты предприятий, использующих Control Web Panel, могут проанализировать эксплоиты и настроить в своих межсетевых экранах соответствующие политики для защиты от возможных кибератак.
Источник: securitylab