KashmirBlack Botnet
I ricercatori hanno portato alla luce le attività di una botnet altamente sofisticata che hanno chiamato KashmirBlack. La botnet ha una portata globale ed è responsabile di milioni di attacchi effettuati ogni giorno. Gli hacker dietro le operazioni possono utilizzare la botnet consolidata per distribuire payload di cripto-miner sui dispositivi compromessi, fornire grandi volumi di spam o condurre campagne di deturpazione contro obiettivi specifici.
KashmirBlack è operativo almeno da novembre 2019 e finora è riuscito a rendere schiavi centinaia di migliaia di computer controllati da un singolo server Command-and-Control (C&C, C2). Il vettore di compromesso abusato dagli hacker per propagare la loro botnet è attraverso una vulnerabilità PHPUnit RCE che si trova nei più diffusi programmi CMS (Content Management System). Sebbene la vulnerabilità abbia quasi un decennio, può colpire milioni di utenti potenzialmente a causa delle aziende costrette a sviluppare ambienti online per i propri lavoratori a seguito della pandemia COVID-19 frettolosamente.
La vulnerabilità del gateway potrebbe essere vecchia, ma le altre caratteristiche di KashmirBlack sono decisamente in anticipo sulla curva. Gli hacker hanno utilizzato le tecniche DevOps per stabilire un'infrastruttura sofisticata che è, allo stesso tempo, estremamente flessibile. Ciò consente a KashmirBlack di essere dotato di nuove funzionalità, payload malware e vulnerabilità da sfruttare rapidamente. La maggiore flessibilità significa che i criminali possono modificare facilmente l'infrastruttura C&C della botnet ed essere in grado di trasferire rapidamente i loro archivi di codice danneggiato da un servizio all'altro. Una tale mossa è stata già osservata quando KashmirBlack è passato da GitHub a Dropbox nel tentativo di nascondere meglio la propria attività.
I criminali dietro la botnet sono davvero estremamente abili e stanno tenendo d'occhio le azioni di potenziali analisti di infosec. Apparentemente, i server di KashmirBlack sui server honeypot installati dai ricercatori di cybersecurity sono stati bloccati solo tre giorni dopo il contatto iniziale.
Per ora, il gruppo di hacker PhatomGhost è il colpevole più probabile dietro la botnet KashmirBlack. Con sede in Indonesia, è noto per aver condotto campagne di deturpazione.
