KashmirBlack 僵尸网络劫持了大量CMS网站

2020年11月2日, 国内信息网络安全公司江民报道了KashmirBlack 僵尸网络，该僵尸网络由遍布30个国家的数十万个被劫持的系统组成，该攻击正在利用数十个已知漏洞，将广泛使用的内容管理系统(CMS)作为攻击目标。 据悉，KashmirBlack活动于2019年11月左右开始，目标是针对流行的CMS平台，如WordPress、Joomla!、PrestaShop、Magneto、Drupal、Vbulletin、OsCommerence、OpenCart和Yeager。研究人员对KashmirBlack僵尸网络进行了为期六个月的调查，结果显示，该复杂操作由一台命令控制（C2）服务器和60多个代理服务器管理，这些服务器与僵尸网络进行通信以发送新目标，从而通过暴力攻击和安装后门来访问僵尸网络，扩大僵尸网络的规模。KashmirBlack的主要目的是滥用门罗币加密货币挖掘系统的资源，并将网站的合法流量重定向到垃圾邮件页面，但是，它也被用来进行攻击。无论出于何种动机，开发尝试均始于利用PHPUnit RCE漏洞（CVE-2017-9841）用与C2服务器通信的下一阶段恶意有效载荷感染客户。