بيش از 23 هزار سرور آلوده به درپشتي (Backdoor) به نام CryptoPHP كشف شدند. اين بدافزار از طريق اتصال و همراه شدن با تمها و پلاگينهاي سيستمهاي مديريت محتواي وب محبوب به سرورها نفوذ و دربردارنده كدهاي اسكريپت مخربي است كه امكان حملات از راه دور و اجراي كدهاي خوداجرا روي وبسرور را فراهم ميكند.
بيش از 23 هزار سرور آلوده به درپشتي (Backdoor) به نام CryptoPHP كشف شدند. اين بدافزار از طريق اتصال و همراه شدن با تمها و پلاگينهاي سيستمهاي مديريت محتواي وب محبوب به سرورها نفوذ و دربردارنده كدهاي اسكريپت مخربي است كه امكان حملات از راه دور و اجراي كدهاي خوداجرا روي وبسرور را فراهم ميكند.
در گام بعدي، محتواي آلوده و مخرب را روي سايتهايي ميفرستد كه ميزباني ميشوند. براساس گزارش شركت امنيتي Fox-IT، اين بدافزار بيشتر توسط هكرهاي كلاه سياهي مورد استفاده قرار ميگيرد كه مشغول بهينهسازي موتورهاي جستوجو هستند. عملياتي كه اين هكرها انجام ميدهند به اين صورت است كه كلمات كليدي و صفحات آلوده و خوداجرايي را روي سايتهاي ميزبان در معرض خطر تزريق ميكنند تا نتايج جستوجو و رتبهبندي آنها بالاتر رود و سيستمهاي مديريت محتواي آلوده شامل محتوا و اطلاعات مورد نظر آنها باشند. برخلاف بيشتر بدافزارهاي درپشتي كه از طريق آسيبپذيريهايي در سرور و سيستمعامل نصب ميشوند، هكرهاي كلاه سياه بدافزار CryptoPHP را از طريق پوستهها و پلاگينهاي سرقت شده سيستمهاي مديريت محتوايي مانند جوملا، وردپرس و دروپال توزيع ميكنند. اين نفوذگران پلاگينها و پوستهها را از سايتهاي مختلف سرقت ميكنند و منتظر ميمانند تا مديران سايت يا توسعهدهندگان به سراغ اين پلاگينها و پوستههاي آلوده بروند و آنها را دانلود و نصب كنند. بدافزار CryptoPHP درون اين پلاگينها و پوستهها جاسازي شده است.
سرورهاي آلوده به CryptoPHP همانند يك باتنت عمل ميكنند و از طريق يك كانال ارتباطي رمزنگاري شده فرامين و دستورات را از سرور اصلي دريافت و اجرا ميكنند. اين بدافزار كه در كشور هلند شناسايي شده است، با كمك مركز بينالمللي امنيت سايبر اين كشور و چند شركت تحقيقاتي و امنيتي ديگر مانند Abuse.ch، Shadowserver، Spamhaus و مؤسسه Fox-IT مهار شده و سرورهاي آنها تحت كنترل درآمدند. همچنين، ارتباط سرورهاي آلوده در سراسر جهان با سرورهاي اصلي قطع شده است تا امكان برقراري ارتباط مجدد و اجراي دستورات جديد وجود نداشته باشد.
محققان مؤسسه امنيتي Fox-IT ميگويند: «در مجموع، 23693 آدرس IP يكتا متصل به سرورهاي آلوده هكرها شناسايي شده است.» اين محققان اعتقاد دارند تعداد سرورهاي آلوده به بدافزار CryptoPHP بيشتر از اين تعداد است؛ زيرا برخي آدرسهاي IP يكتا ميان چند سرور به اشتراك گذاشته شده است. طبق گزارش اعلام شده، پنج كشوري كه بيشترين آلودگي را دارند، به ترتيب امريكا (8657 آدرس IP)، آلمان (2877 آدرس IP)، فرانسه (1231 آدرس IP)، هلند (1008 آدرس IP) و تركيه (749 آدرس IP يكتا) معرفي شدند. همچنين، در گزارش مؤسسه Fox-IT آمده است هكرها هنگامي كه سرورها بار ترافيكي پاييني دارند، حملات خود را ترتيب ميدهند كه امكان نصب پلاگينها و پوستهها وجود داشته باشد و بتوانند امكانات جديد را راهاندازي كنند.
به علاوه، تلاشهايي ردگيري شده است كه اين هكرها در تلاشاند نسخه جديدي از اين بدافزار را بسازند و توزيع كنند تا از تشخيص و شناسايي و قطع ارتباط سرورهاي آلوده با سرور مركزي در امان باشند. اين محققان دو اسكريپت پايتون در برنامه GitHub منتشر كردند تا مديران و وبمسترهاي سايتها با استفاده از آنها بتوانند سرورهاي ميزباني سايت خود را اسكن و بدافزار CryptoPHP را شناسايي كنند. بهعلاوه، آنها دستورالعمل پاكسازي سيستم و حذف اين بدافزار را در وبلاگ خود منتشر كردند، اما توصيه كردند بهتر است سيستم مديريت محتوايي كه آلوده شده است دوباره نصب شود تا امنيت كامل بهدست آيد و كمترين خطري متوجه سرور نباشد.
شنبه ۰۲ اردیبهشت ۹۶ ۱۵:۲۹
۲۱۵ بازديد
تا كنون نظري ثبت نشده است