KashmirBlack Botnet

Forskere har udgravet aktiviteterne i et meget sofistikeret botnet, som de har navngivet KashmirBlack. Botnet har global rækkevidde og er ansvarlig for millioner af angreb udført hver dag. Hackerne bag operationerne kan bruge det etablerede botnet til at distribuere crypto-minearbejdsbelastninger på de kompromitterede enheder, levere enorme mængder spam eller gennemføre fordærvelseskampagner mod specifikke mål.

KashmirBlack har været i drift siden mindst november 2019 og har indtil videre formået at slavefinde hundreder af tusinder af computere, der styres af en enkelt Command-and-Control (C&C, C2) server. Kompromisvektoren misbrugt af hackerne til at udbrede deres botnet er gennem en PHPUnit RCE-sårbarhed, der findes i populære content management system (CMS) programmer. Selv om sårbarheden er næsten et årti gammel, kan den påvirke millioner af brugere, potentielt på grund af at virksomheder bliver tvunget til at udvikle onlinemiljøer for deres arbejdere som et resultat af COVID-19-pandemien i hast.

Gateway-sårbarheden kan være gammel, men KashmirBlacks andre karakteristika er bestemt foran kurven. Hackerne har brugt DevOps-teknikker til at etablere en sofistikeret infrastruktur, der på samme tid er ekstremt fleksibel. Dette gør det muligt for KashmirBlack at blive udstyret med nye muligheder, malware-nyttelast og sårbarheder, der hurtigt kan udnyttes. Den ekstra fleksibilitet betyder, at de kriminelle let kunne ændre Cnet & C-infrastrukturen i botnet og være i stand til hurtigt at overføre deres arkiver med beskadiget kode fra en tjeneste til en anden. Et sådant skridt blev allerede observeret, da KashmirBlack flyttede fra GitHub til Dropbox i et forsøg på at skjule deres aktivitet bedre.

Kriminelle bag botnet er faktisk dygtige ekstremt, og de holder nøje øje med eventuelle potentielle infosec-analytikers handlinger. Tilsyneladende blev KashmirBlacks til honeypot-serverne oprettet af cybersikkerhedsforskerne blokeret kun tre dage efter den første kontakt.

Indtil videre er hackergruppen PhatomGhost den mest sandsynlige skyldige bag KashmirBlack botnet. Baseret i Indonesien er det kendt for at udføre fordærvelseskampagner.