Исследователи безопасности выявили новую масштабную кампанию, нацеленную на серверы с PHP-приложениями, для продвижения сайтов азартных игр в Индонезии. По данным компании Imperva, за последние два месяца зарегистрирован значительный объём атак с использованием Python-ботов. Эти действия связывают с ростом количества сайтов азартных игр на фоне усиленного контроля со стороны властей.
Атаки включают использование утилиты GSocket (Global Socket) — открытого инструмента для установления соединений между машинами, несмотря на сетевые ограничения. GSocket ранее применялся в криптоджекинге и для внедрения вредоносных скриптов с целью кражи платёжных данных.
Хакеры использовали уже скомпрометированные серверы, где были установлены веб-шеллы, для внедрения GSocket. Основной целью стали серверы, работающие на платформе Moodle — популярной системе управления обучением (LMS). Для обеспечения работы GSocket даже после удаления веб-шеллов злоумышленники модифицировали системные файлы bashrc и crontab.
Получив доступ к серверам, нападающие внедряли PHP-файлы с HTML-контентом, рекламирующим сайты азартных игр, ориентированные на индонезийскую аудиторию. При этом страницы были настроены так, чтобы открываться только для поисковых роботов, а обычных пользователей перенаправляли на другой домен. Одним из таких сайтов оказался «pktoto[.]cc», известный индонезийский сайт азартных игр.
Компания c/side недавно обнаружила
другую глобальную кампанию, затронувшую более 5000 сайтов. Злоумышленники создавали несанкционированные учётные записи администраторов, устанавливали вредоносные плагины и отправляли данные учётных записей на удалённый сервер через домен «wp3[.]xyz». Точный способ начального заражения пока неизвестен, однако кампания получила название WP3.XYZ.
Для защиты от таких атак владельцам сайтов на
Источник: SecurityLab