KashmirBlack Botnet
Onderzoekers hebben de activiteiten van een zeer geavanceerd botnet ontdekt dat ze KashmirBlack hebben genoemd. Het botnet heeft een wereldwijd bereik en is verantwoordelijk voor miljoenen aanvallen die elke dag worden uitgevoerd. De hackers achter de operaties kunnen het gevestigde botnet gebruiken om payloads van cryptominer op de gecompromitteerde apparaten in te zetten, grote hoeveelheden spam te verzenden of defacement-campagnes uit te voeren tegen specifieke doelen.
KashmirBlack is ten minste sinds november 2019 operationeel en heeft tot dusver honderdduizenden computers tot slaaf gemaakt die worden bestuurd door een enkele Command-and-Control-server (C&C, C2). De compromisvector die door de hackers wordt misbruikt om hun botnet te verspreiden, is via een PHPUnit RCE-kwetsbaarheid die wordt aangetroffen in populaire CMS-programma's (Content Management System). Hoewel de kwetsbaarheid bijna tien jaar oud is, kan het miljoenen gebruikers treffen, omdat bedrijven worden gedwongen om online omgevingen voor hun werknemers te ontwikkelen als gevolg van de COVID-19-pandemie.
De gateway-kwetsbaarheid is misschien oud, maar de andere kenmerken van KashmirBlack lopen absoluut voorop. De hackers hebben DevOps-technieken gebruikt om een geavanceerde infrastructuur op te zetten die tegelijkertijd extreem flexibel is. Hierdoor kan KashmirBlack worden uitgerust met nieuwe mogelijkheden, malware-ladingen en kwetsbaarheden om snel te misbruiken. De extra flexibiliteit betekent dat de criminelen de C & C-infrastructuur van het botnet gemakkelijk kunnen wijzigen en hun opslagplaatsen met beschadigde code snel van de ene service naar de andere kunnen overzetten. Een dergelijke beweging werd al waargenomen toen KashmirBlack van GitHub naar Dropbox verhuisde in een poging hun activiteit beter te verbergen.
De criminelen achter het botnet zijn inderdaad buitengewoon bekwaam en houden de acties van mogelijke infosec-analisten nauwlettend in de gaten. Blijkbaar werd KashmirBlack's naar de honeypotservers die door de cybersecurity-onderzoekers waren opgezet, slechts drie dagen na het eerste contact geblokkeerd.
Voorlopig is de hackergroep PhatomGhost de meest waarschijnlijke boosdoener achter het KashmirBlack-botnet. Gevestigd in Indonesië, staat het bekend om het uitvoeren van defacement-campagnes.
