Các tin tặc tiếp tục nhắm vào lỗ hổng Drupal có tên Drupalgeddon2 để cài đặt phần mềm độc hại lên các hệ thống chưa được vá, theo các nhà nghiên cứu bảo mật của Akamai.
CVE-2018-7600, lỗ hổng bảo mật tác động đến các phiên bản Drupal 6, 7 và 8. Lỗi này đã được xử lý vào tháng 3 năm 2018, với các cuộc tấn công đầu tiên nhắm vào nó chỉ phát hiện vài tuần sau đó, cố gắng triển khai các chương trình độc hại như công cụ khai thác tiền điện tử và các backdoor.
Giờ đây, nhà nghiên cứu bảo mật Akamai, Larry W. Cashdollar tiết lộ rằng lỗ hổng này tiếp tục được nhắm mục tiêu trong một chiến dịch độc hại được quan sát gần đây, nơi những kẻ tấn công cố gắng chạy mã được nhúng trong tệp .gif.
Mặc dù không phổ biến rộng rãi, chiến dịch dường như đang nhắm mục tiêu vào một loạt các trang web lớn, mà không tập trung vào một ngành cụ thể. Một trong những tệp .gif được phân tích đã được lưu trữ trên một trang web bodysurfing bị xâm phạm ở Brazil. Tệp này chứa mã PHP bị xáo trộn (obfuscated) được thiết kế để giải mã phần mềm độc hại được mã hóa base64 được lưu trữ trong một biến.
Nhà nghiên cứu phát hiện ra rằng phần mềm độc hại có thể quét thông tin đăng nhập được lưu trong tệp cục bộ, gửi email với thông tin xác thực được phát hiện, thay thế tệp .htaccess cục bộ, hiển thị tệp cấu hình MySQL my.cnf, thực thi tệp từ xa, hiển thị thông tin hệ thống, đổi tên tệp, tải lên tập tin và khởi chạy một web shell.
Ngoài .gif, cuộc tấn công drop một phần mềm độc hại được lưu trữ trong .txt dưới dạng tập lệnh Perl. Chương trình độc hại này sử dụng Internet Relay Chat (IRC) cho chỉ huy và kiểm soát thông tin liên lạc (C&C).
Mối đe dọa có thể khởi động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), nhưng cũng có chức năng như một Trojan truy cập từ xa (RAT). Nó có thể kết nối với máy chủ IRC và tham gia một kênh cụ thể để nhận lệnh.
Chức năng có trong phần mềm độc hại cho phép nó thu thập thông tin từ hệ thống cục bộ và cung cấp cho kẻ tấn công quyền kiểm soát nó.
Nó cũng hỗ trợ lệnh SQL flood, cho phép các nhà khai thác phần mềm độc hại gửi các yêu cầu HTTP GET chung đến cổng mặc định của MySQL, 3306, trên mục tiêu đã chỉ định.
“Đoạn mã này đã được chia sẻ và sửa đổi rộng rãi bởi mạng Internet tội phạm ngầm,” Cash Cashdollar nói.
Chiến dịch mới nhấn mạnh một lần nữa tầm quan trọng của việc duy trì an ninh mạng, điều này cũng liên quan đến việc vá kịp thời. Lỗ hổng Drupalgeddon2 được nhắm mục tiêu đã có một năm rưỡi tuổi và có thể dễ dàng khai thác, điều này tạo ra rủi ro lớn cho môi trường doanh nghiệp với các hệ thống chưa được vá, vì các cuộc tấn công quét và lây nhiễm có thể được tự động hóa.
“Duy trì các bản vá một cách kịp thời, cũng như các máy chủ ngừng hoạt động đúng cách nếu chúng không còn được sử dụng là biện pháp phòng ngừa tốt nhất mà các quản trị viên và nhóm bảo mật có thể thực hiện”, các nhà nghiên cứu kết luận.
