KashmirBlack 僵尸网络劫持了大量CMS网站

2020年11月2日, 国内信息网络安全公司江民报道了KashmirBlack 僵尸网络,该僵尸网络由遍布30个国家的数十万个被劫持的系统组成,该攻击正在利用数十个已知漏洞,将广泛使用的内容管理系统(CMS)作为攻击目标。 据悉,KashmirBlack活动于2019年11月左右开始,目标是针对流行的CMS平台,如WordPress、Joomla!、PrestaShop、Magneto、Drupal、Vbulletin、OsCommerence、OpenCart和Yeager。研究人员对KashmirBlack僵尸网络进行了为期六个月的调查,结果显示,该复杂操作由一台命令控制(C2)服务器和60多个代理服务器管理,这些服务器与僵尸网络进行通信以发送新目标,从而通过暴力攻击和安装后门来访问僵尸网络,扩大僵尸网络的规模。KashmirBlack的主要目的是滥用门罗币加密货币挖掘系统的资源,并将网站的合法流量重定向到垃圾邮件页面,但是,它也被用来进行攻击。无论出于何种动机,开发尝试均始于利用PHPUnit RCE漏洞(CVE-2017-9841)用与C2服务器通信的下一阶段恶意有效载荷感染客户。