Сайты на Drupal стали жертвами вредоносного криптоджекинга

Олег Иванов 07 Мая 2018 - 11:02

Домашние пользователи

...

После того, как информация о двух критических уязвимостях в Drupal стала общедоступна, киберпреступники обратили внимание на данную проблему в безопасности популярной CMS. Злоумышленники искали способы установки вредоносных программ на серверы, в частности, их интересовал майнинг за счет ресурсов посетителей сайтов.

Киберпреступникам повезло, так как две бреши CVE-2018-7600 и CVE-2018-7602 подвергли более миллиона сайтов на движке Drupal опасности. Если владелец уязвимого ресурса оперативно не принял меры по обновлению, сайт легко может быть взломан.

Оказалось, что многие сайты не были пропатчены и, следовательно, стали жертвами бэкдоров сразу после публикации подробностей о дырах в безопасности и PoC-кода.

На прошлой неделе эксперты отметили две вредоносные кампании, нацеленные на Drupal-сайты. В ходе этих атак киберпреступники добавляли в код взломанных сайтов версию скрипта Coinhive, предназначенного для майнинга криптовалюты.

Файл с именем «jquery.once.js?v=1.2» был загружен на каждый уязвимый сайт, до которого добрались злоумышленники.

Эксперт Трой Мюрш, обнаруживший злонамеренные кампании, изначально сообщал о наличии вредоносного файла на 100 000 доменах, потом Мюрш снизил количество до 80 000 доменов, после чего, в качестве окончательной цифры, специалист назвал 348 сайта, на которых выполнялась нелегальная операция по добыче цифровой валюты.

Среди жертв есть много правительственных сайтов, а также ресурсов, принадлежащих университетам. С полным списком затронутых сайтов можно ознакомиться в электронной таблице Google Docs, созданной Мюршем.

Также компания Imperva, специализирующаяся на кибербезопасности, сообщила об обнаружении другой вредоносной активности, в ходе которой атаковались сайты на Drupal. Кампания получила имя «Kitty», так как киберпреступники использовали файл майнера «me0w.js».

Отмечается, что адрес кошелька Monero, используемого в кампании Kitty, аналогичен тому, который использовался в начале апреля атаках на версию другого популярного движка для форумов — vBulletin 4.2.x.

Напомним, что в конце марта стало известно, что миллионы сайтов на Drupal в опасности, так как уязвимость распространяется на версии 6, 7 и 8, о чем сообщает специалист Джаспер Маттссон (Jasper Mattsson). Проблема отслеживается под идентификатором CVE-2018-7600.

Позже, в конце апреля, разработчики этой системы выпустили патч, устраняющий другую критическую уязвимость — Drupalgeddon2.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Читайте также

Практика

Юридические аспекты внедрения DLP-системы

16 Ноября 2018

Аналитика

Правомерность отправки банками СМС и push-уведомлений клиентам

19 Ноября 2018

ПАК Соболь версии 4 получил сертификат соответствия ФСТЭК

Олег Иванов 10 Декабря 2018 - 20:00

Корпорации Код Безопасности

ПАК Соболь версии 4 получил сертификат соответствия ФСТЭК

Компания «Код безопасности» объявляет о получении сертификата соответствия ФСТЭК России на ПАК «Соболь» версии 4. Сертификат №4043 от 05.12.2018 г. подтверждает соответствие нового электронного замка «Соболь» 4 требованиям ФСТЭК России к средствам доверенной загрузки уровня платы расширения второго класса защиты.

Полученный сертификат сроком действия до 05.12.2023 г. дает возможность использования ПАК «Соболь» версии 4 для защиты конфиденциальной информации и гостайны с грифом «совершенно секретно», для применения продукта в автоматизированных системах до класса защищенности 1Б включительно, в ИСПДн до УЗ1 включительно и в ГИС до 1-го класса защищенности включительно.

О выпуске ПАК «Соболь» версии 4 «Код безопасности» объявил в январе текущего года. Четвертое поколение ПАК «Соболь» стало новым шагом в развитии продукта: значительно изменились функциональные возможности электронного замка, и при этом сохранилась преемственность интерфейса, к которой привыкли пользователи предыдущей версии. Ключевыми отличиями нового поколения модулей доверенной загрузки стали поддержка технологии UEFI, совместимость с USB 3.0, а также расширение функциональных возможностей.

Функционирование ПАК «Соболь» в среде UEFI дает возможность использовать для хранения и обработки конфиденциальных данных и гостайны современные компьютеры. Поддержка разметки GPT позволяет работать с жесткими дисками объемом более 2 терабайт.

В новой версии продукта обеспечена поддержка совместимости с USB 3.0 и осуществлен переход от 16-битной к 64-битной архитектуре. Интеграция с новыми типами идентификаторов по сравнению с предыдущей версией ПАК «Соболь» требует значительно меньших затрат.

В ПАК «Соболь» 4 расширен список поддерживаемых идентификаторов:

USB-ключи: JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta SF/ГОСТ, Rutoken ЭЦП и Rutoken Lite;
Смарт-карты: JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ.

С полным списком поддерживаемых идентификаторов можно ознакомиться на странице «Возможности».

Для упрощения использования ПАК «Соболь» в крупных инфраструктурах количество поддерживаемых пользователей было увеличено с 32 до 100, кроме того, были расширены возможности журнала безопасности: количество записей возросло с 80 до 2000. Для повышения удобства привычную консоль электронного замка сменил графический интерфейс, однако логика управления была сохранена. Также появилась возможность работы с компьютерной мышью.

Электронный замок «Соболь» версии 4 уже поступил в продажу в трех форматах исполнения: на платах PCI Express, Mini PCI Express Half и М.2.