شرکت GuardiCore از شناسایی شبکه مخربی متشکل از بیش از 40 هزار سایت، سرور، مودم و تجهیزات موسوم به اینترنت اشیا تسخیر شده خبر داده که از آنها بهمنظور استخراج ارزرمز و هدایت کاربران به سایتهای جعلی بهرهگیری میشود.
گردانندگان این شبکه مخرب با عنوان Prowli از روشهای زیر بهمنظور رخنه به دستگاهها استفاده کردهاند:
- اجرای حملات سعی و خطا (Brute-force) برای در اختیار گرفتن کنترل سایتهای مبتنی بر WordPress و Drupal
- بهرهجویی از آسیبپذیری CVE-2018-7482 برای نفوذ به آن دسته از سایتهای مبتنی بر Joomla که در آنها از افزونه K2 استفاده شده است.
- سوءاستفاده از ضعفهای امنیتی شناخته شده برای رخنه به مودمهای DSL
- بهرهجویی از آسیبپذیری CVE-2014-2623 برای نفوذ به سرورهای حاوی HP Data Protector
- اجرای حملات سعی و خطا برای در دست گرفتن کنترل و سرورهای حاوی PhpMyAdmin و سرورهای با پودمان SMB باز
به گزارش شرکت مهندسی شبکه گستر، گردانندگان Prowli پس از آلوده کردن دستگاهها، اقدام به استخراج ارزرمز مونرو با بهرهگیری از منابع آنها به نفع خود میکنند. ضمن اینکه با اجرای بدافزار، از روی دستگاه هک شده، دستگاههای با SSH باز، نام کاربری پیشفرض و رمز عبور ضعیف را نیز به تسخیر این شبکه مخرب در میآورند.
همچنین این مهاجمان با تزریق کد به سایتهای هک شده، مراجعهکنندگان را به سایتهای جعلی و مخرب هدایت میکنند.
مشروح گزارش GuardiCore، در زیر، قابل دریافت و مطالعه است:
https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/