شماره شانزدهم خبرنامه دیدهبان
۲۸ آبان ۱۴۰۳ - ۱۳:۳۹
این اسکریپت backdoor از طریق پلاگینها و تمهای جعلی وردپرس، جوملا و دروپال منتشر میشود.
بیش از ۲۳۰۰۰ وب سرور توسط یک backdoor به نام CryptoPHP که به تمها و
پلاگینهای تقلبی سیستمهای مدیریت محتوای مشهور چسبیده است آلوده شدهاند.
CryptoPHP یک اسکریپت خرابکار است که حملات راه دور را با قابلیت اجرای کد خرابکار روی سرورهای وب و تزریق محتوای خرابکارانه به وبسایتهای میزبانی شده بر روی آنها فراهم میکند.
به گزارش مرکز ماهر، شرکت هلندی Fox-IT که هفته گذشته گزارشی در مورد این تهدید منتشر کرد، این backdoor ابتدا برای بهینه سازی موتورهای جستجو به شیوه کلاه سیاهها مورد استفاده قرار گرفت.
این کار شامل تزریق کلمات کلیدی و صفحات جعلی به سایتهای مورد سوء استفاده برای سرقت رتبه آنها در موتورهای جستجو و قرار دادن محتوای خرابکارانه در رده بالاتری در نتایج جستجوی موتورهای جستجو میباشد.
بر خلاف اغلب backdoor های وبسایت، CryptoPHP با سوء استفاده از آسیبپذیریها نصب نمیشود. بلکه مهاجمان نسخههای جعلی پلاگینها و تمهای جعلی جوملا، وردپرس و دروپال را از طریق چندین سایت منتشر کرده و منتظر میمانند تا مدیران سایتها آنها را بر روی سایتهای خود دانلود و نصب نمایند. این پلاگینها و تمهای جعلی حاوی CryptoPHP هستند.
وبسرورهای آلوده با CryptoPHP مانند یک باتنت عمل میکنند. آنها با استفاده از یک کانال ارتباطی رمزشده به سرورهای دستور و کنترل هدایت شده توسط مهاجمان متصل شده و به دستورات آنها گوش میکنند.
Fox-IT با کمک مرکز امنیت سایبری ملی دولت هلند و چند سازمان مبارزه با جرایم سایبری، کنترل دامنههای دستور و کنترل CryptoPHP را در اختیار گرفته و آنها را به سرورهایی تحت کنترل خود برای جمعآوری آمار هدایت کرده است.
محققان Fox-IT روز چهارشنبه اعلام کردند که در مجموع ۲۳۶۹۳ آدرس آیپی به این سرورها متصل شدهاند.
البته تعداد وبسایتهای تحت تأثیر احتمالاً بیشتز است، چرا که برخی از این آدرسهای آیپی به سرورهای میزبانی وب اشتراکی متعلق هستند که بیش از یک سایت آلوده دارند.
پنج کشور برتر در مورد آلودگی CryptoPHP عبارتند از ایالات متحده آمریکا (با ۸۶۵۷ آدرس آیپی)، آلمان (با ۲۸۷۷ آدرس آیپی)، فرانسه (با ۱۲۳۱ آدرس آیپی)، هلند (با ۱۰۰۸ آدرس آیپی) و ترکیه (با ۷۴۹ آدرس آیپی).
از آنجا که Fox-IT گزارش CryptoPHP خود را هفته گذشته منتشر کرد، مهاجمان وبسایتهایی را که میزبان پلاگینها و تمهای جعلی بودند از کار انداخته و وبسایتهای جدیدی راهاندازی کردهاند.
آنها احتمالاً جهت جلوگیری از شناسایی، نسخه جدیدی از این backdoor نیز ارائه کردهاند.
محققان Fox-IT دو اسکریپت Python روی GitHub عرضه کردهاند که مدیران سایتها میتوانند جهت اسکن سرورها و سایتها در مورد آلودگی CryptoPHP از آنها استفاده نمایند. آنها همچنین دستورات حذف این backdoor را در بلاگ خود منتشر کردهاند، اما تأکید کردهاند که نهایتاً بهتر است سیستم مدیریت محتوای آلوده را به کلی پاک کنید.
CryptoPHP یک اسکریپت خرابکار است که حملات راه دور را با قابلیت اجرای کد خرابکار روی سرورهای وب و تزریق محتوای خرابکارانه به وبسایتهای میزبانی شده بر روی آنها فراهم میکند.
به گزارش مرکز ماهر، شرکت هلندی Fox-IT که هفته گذشته گزارشی در مورد این تهدید منتشر کرد، این backdoor ابتدا برای بهینه سازی موتورهای جستجو به شیوه کلاه سیاهها مورد استفاده قرار گرفت.
این کار شامل تزریق کلمات کلیدی و صفحات جعلی به سایتهای مورد سوء استفاده برای سرقت رتبه آنها در موتورهای جستجو و قرار دادن محتوای خرابکارانه در رده بالاتری در نتایج جستجوی موتورهای جستجو میباشد.
بر خلاف اغلب backdoor های وبسایت، CryptoPHP با سوء استفاده از آسیبپذیریها نصب نمیشود. بلکه مهاجمان نسخههای جعلی پلاگینها و تمهای جعلی جوملا، وردپرس و دروپال را از طریق چندین سایت منتشر کرده و منتظر میمانند تا مدیران سایتها آنها را بر روی سایتهای خود دانلود و نصب نمایند. این پلاگینها و تمهای جعلی حاوی CryptoPHP هستند.
وبسرورهای آلوده با CryptoPHP مانند یک باتنت عمل میکنند. آنها با استفاده از یک کانال ارتباطی رمزشده به سرورهای دستور و کنترل هدایت شده توسط مهاجمان متصل شده و به دستورات آنها گوش میکنند.
Fox-IT با کمک مرکز امنیت سایبری ملی دولت هلند و چند سازمان مبارزه با جرایم سایبری، کنترل دامنههای دستور و کنترل CryptoPHP را در اختیار گرفته و آنها را به سرورهایی تحت کنترل خود برای جمعآوری آمار هدایت کرده است.
محققان Fox-IT روز چهارشنبه اعلام کردند که در مجموع ۲۳۶۹۳ آدرس آیپی به این سرورها متصل شدهاند.
البته تعداد وبسایتهای تحت تأثیر احتمالاً بیشتز است، چرا که برخی از این آدرسهای آیپی به سرورهای میزبانی وب اشتراکی متعلق هستند که بیش از یک سایت آلوده دارند.
پنج کشور برتر در مورد آلودگی CryptoPHP عبارتند از ایالات متحده آمریکا (با ۸۶۵۷ آدرس آیپی)، آلمان (با ۲۸۷۷ آدرس آیپی)، فرانسه (با ۱۲۳۱ آدرس آیپی)، هلند (با ۱۰۰۸ آدرس آیپی) و ترکیه (با ۷۴۹ آدرس آیپی).
از آنجا که Fox-IT گزارش CryptoPHP خود را هفته گذشته منتشر کرد، مهاجمان وبسایتهایی را که میزبان پلاگینها و تمهای جعلی بودند از کار انداخته و وبسایتهای جدیدی راهاندازی کردهاند.
آنها احتمالاً جهت جلوگیری از شناسایی، نسخه جدیدی از این backdoor نیز ارائه کردهاند.
محققان Fox-IT دو اسکریپت Python روی GitHub عرضه کردهاند که مدیران سایتها میتوانند جهت اسکن سرورها و سایتها در مورد آلودگی CryptoPHP از آنها استفاده نمایند. آنها همچنین دستورات حذف این backdoor را در بلاگ خود منتشر کردهاند، اما تأکید کردهاند که نهایتاً بهتر است سیستم مدیریت محتوای آلوده را به کلی پاک کنید.
مهمترین راهکار نهادینه سازی الزامات و ضوابط پدافند غیرعامل در دستگاههای اجرایی را چه می دانید؟!
شماره پانزدهم خبرنامه دیدهبان
۲۷ آبان ۱۴۰۳ - ۱۳:۵۶
شماره چهاردهم خبرنامه دیدهبان
۱۹ آبان ۱۴۰۳ - ۱۱:۳۳
شماره سیزدهم خبرنامه دیدهبان
۱۵ آبان ۱۴۰۳ - ۱۳:۲۰
شماره دوازدهم خبرنامه دیدهبان
۲۰ شهريور ۱۴۰۳ - ۲۲:۴۹
شماره یازدهم خبرنامه دیدهبان
۱۷ مرداد ۱۴۰۳ - ۱۲:۲۳
شماره دهم خبرنامه دیدهبان
۰۱ مرداد ۱۴۰۳ - ۱۳:۵۶
شماره نهم خبرنامه دیده بان
۱۸ تير ۱۴۰۳ - ۱۸:۳۱
شماره هشتم خبرنامه دیده بان
۲۶ خرداد ۱۴۰۳ - ۱۳:۵۷
شماره هفتم خبرنامه دیده بان
۱۳ خرداد ۱۴۰۳ - ۱۰:۱۳
شماره ششم خبرنامه دیدهبان
۳۱ ارديبهشت ۱۴۰۳ - ۱۶:۰۶
شماره پنجم خبرنامه دیدهبان
۲۳ ارديبهشت ۱۴۰۳ - ۱۲:۳۷
شماره چهارم خبرنامه دیدهبان
۱۲ ارديبهشت ۱۴۰۳ - ۲۲:۳۳
شماره سوم خبرنامه دیده بان
۰۶ ارديبهشت ۱۴۰۳ - ۱۲:۰۵
شماره دوم خبرنامه دیده بان
۰۱ ارديبهشت ۱۴۰۳ - ۲۳:۳۵
شماره اول خبرنامه دیده بان
۲۱ فروردين ۱۴۰۳ - ۲۳:۴۲