Threat Database Botnets KashmirBlack Botnet

KashmirBlack Botnet

Los investigadores han descubierto las actividades de una botnet altamente sofisticada que han llamado KashmirBlack. La botnet tiene alcance global y es responsable de millones de ataques que se llevan a cabo todos los días. Los piratas informáticos detrás de las operaciones pueden utilizar la botnet establecida para implementar cargas útiles de cripto-mineros en los dispositivos comprometidos, entregar grandes volúmenes de spam o realizar campañas de desfiguración contra objetivos específicos.

KashmirBlack ha estado operativo desde al menos noviembre de 2019 y hasta ahora logró esclavizar a cientos de miles de computadoras controladas por un solo servidor de Comando y Control (C&C, C2). El vector de compromiso abusado por los piratas informáticos para propagar su botnet es a través de una vulnerabilidad PHPUnit RCE que se encuentra en los programas populares del sistema de administración de contenido (CMS). Aunque la vulnerabilidad tiene casi una década, puede afectar a millones de usuarios potencialmente debido a que las empresas se ven obligadas a desarrollar entornos en línea para sus trabajadores como resultado de la pandemia de COVID-19 de forma apresurada.

La vulnerabilidad de la puerta de enlace puede ser antigua, pero las otras características de KashmirBlack definitivamente están por delante de la curva. Los piratas informáticos han utilizado técnicas de DevOps para establecer una infraestructura sofisticada que es, al mismo tiempo, extremadamente flexible. Esto permite que KashmirBlack esté equipado con nuevas capacidades, cargas útiles de malware y vulnerabilidades para explotar rápidamente. La flexibilidad adicional significa que los delincuentes podrían modificar la infraestructura C&C de la botnet fácilmente y poder transferir sus repositorios de código corrupto de un servicio a otro rápidamente. Tal movimiento ya se observó cuando KashmirBlack se trasladó de GitHub a Dropbox en un intento de ocultar mejor su actividad.

Los delincuentes detrás de la botnet son de hecho extremadamente hábiles y están vigilando de cerca las posibles acciones de los analistas de seguridad. Aparentemente, KashmirBlack's a los servidores de honeypot configurados por los investigadores de ciberseguridad fue bloqueado solo tres días después del contacto inicial.

Por ahora, el grupo de hackers PhatomGhost es el culpable más probable detrás de la botnet KashmirBlack. Con sede en Indonesia, es conocido por llevar a cabo campañas de desfiguración.

Tendencias

Mas Visto

Cargando...