Организаторы кибератак используют относительно простые методы для запуска криптомайнеров и скиммеров.
В декабре минувшего года SecurityLab сообщал об уязвимости в китайском PHP-фреймворке ThinkPHP, позволявшей удаленно выполнить код. Хотя уязвимость (CVE-2018-20062) уже исправлена разработчиком, злоумышленники продолжают активно эксплуатировать проблему.
Сотрудник компании Akamai Лэрри Кэшдоллар (Larry Cashdollar) выявил ряд экспоитов для данной уязвимости, когда проводил анализ недавней атаки Magecart на расширения для системы управления интернет-магазинами Magento. По его словам, атакующие используют уязвимость для внедрения различного вредоносного ПО - от троянов для ПК на базе Windows и IoT-устройств до криптомайнеров.
Киберпреступники используют относительно простые методы для эксплуатации проблем. Как отметил исследователь, всего одна строка кода может провести проверку на наличие уязвимости, которая затем может использоваться в атаках, предполагающих применение доступного в Сети вредоносного кода. В одном из случаев атакующие пытались распространить вариант вредоносного ПО Mirai. Это говорит о том, что операторы Mirai-ботнетов уже начали добавлять эксплоиты для ThinkPHP в свой арсенал.
Выполнение кода через вызовы PHP-фреймворка позволяет пропустить ряд этапов. «В 1990-х годах люди всегда пытались получить права суперпользователя. Теперь это не имеет значения. Они просто хотят выполнять код на системе с любыми правами для внедрения вредоносных программ или майнинга криптовалюты», - отметил Кэшдоллар.
В основном злоумышленники атакуют системы в Азии, где фреймворк ThinkPHP весьма популярен, но также уделяют внимание Европе и США. Атакующих интересуют компании в различных сферах - от разработчиков программного обеспечения до фирм, занимающихся прокатом автомобилей.
Гравитация научных фактов сильнее, чем вы думаете