Сайты на Drupal стали жертвами вредоносного криптоджекинга

Олег Иванов 07 Мая 2018 - 11:02

Домашние пользователи

...

После того, как информация о двух критических уязвимостях в Drupal стала общедоступна, киберпреступники обратили внимание на данную проблему в безопасности популярной CMS. Злоумышленники искали способы установки вредоносных программ на серверы, в частности, их интересовал майнинг за счет ресурсов посетителей сайтов.

Киберпреступникам повезло, так как две бреши CVE-2018-7600 и CVE-2018-7602 подвергли более миллиона сайтов на движке Drupal опасности. Если владелец уязвимого ресурса оперативно не принял меры по обновлению, сайт легко может быть взломан.

Оказалось, что многие сайты не были пропатчены и, следовательно, стали жертвами бэкдоров сразу после публикации подробностей о дырах в безопасности и PoC-кода.

На прошлой неделе эксперты отметили две вредоносные кампании, нацеленные на Drupal-сайты. В ходе этих атак киберпреступники добавляли в код взломанных сайтов версию скрипта Coinhive, предназначенного для майнинга криптовалюты.

Файл с именем «jquery.once.js?v=1.2» был загружен на каждый уязвимый сайт, до которого добрались злоумышленники.

Эксперт Трой Мюрш, обнаруживший злонамеренные кампании, изначально сообщал о наличии вредоносного файла на 100 000 доменах, потом Мюрш снизил количество до 80 000 доменов, после чего, в качестве окончательной цифры, специалист назвал 348 сайта, на которых выполнялась нелегальная операция по добыче цифровой валюты.

Среди жертв есть много правительственных сайтов, а также ресурсов, принадлежащих университетам. С полным списком затронутых сайтов можно ознакомиться в электронной таблице Google Docs, созданной Мюршем.

Также компания Imperva, специализирующаяся на кибербезопасности, сообщила об обнаружении другой вредоносной активности, в ходе которой атаковались сайты на Drupal. Кампания получила имя «Kitty», так как киберпреступники использовали файл майнера «me0w.js».

Отмечается, что адрес кошелька Monero, используемого в кампании Kitty, аналогичен тому, который использовался в начале апреля атаках на версию другого популярного движка для форумов — vBulletin 4.2.x.

Напомним, что в конце марта стало известно, что миллионы сайтов на Drupal в опасности, так как уязвимость распространяется на версии 6, 7 и 8, о чем сообщает специалист Джаспер Маттссон (Jasper Mattsson). Проблема отслеживается под идентификатором CVE-2018-7600.

Позже, в конце апреля, разработчики этой системы выпустили патч, устраняющий другую критическую уязвимость — Drupalgeddon2.

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 20 Декабря 2025 - 09:19

Уязвимости программ Домашние пользователи Корпорации

Античит Riot добрался до BIOS: Valorant может не запуститься

Riot Games снова закручивает гайки в борьбе с читерами — и на этот раз дело дошло до BIOS. Компания объявила о новом требовании для части игроков Valorant: перед запуском игры может понадобиться обновить BIOS. Причина — уязвимость в UEFI, которая теоретически позволяет обходить защитные механизмы Vanguard, фирменного античита Riot.

Riot обнаружила баг в работе IOMMU (Input-Output Memory Management Unit) на некоторых материнских платах от разных производителей.

Этот механизм должен защищать оперативную память от прямого доступа со стороны внешних устройств на этапе загрузки системы. Но из-за уязвимости защита могла быть фактически отключена, даже если в BIOS она отмечена как включённая.

Речь идёт о целой группе уязвимостей (CVE-2025-11901, CVE-2025-14302, CVE-2025-14303 и CVE-2025-14304), которые создают небольшое «окно» на старте системы — в этот момент DMA-устройства потенциально могут получить доступ к памяти. Для обычных пользователей это звучит экзотично, но для особенно мотивированных читеров — вполне рабочий сценарий обхода античита.

Кого это коснётся? Пока что — не всех. Vanguard начнёт проверять наличие обновлённого BIOS только у «ограниченного числа» игроков Valorant, чьи системы по каким-то параметрам выглядят подозрительно и «слишком похожи на конфигурации читеров».

Однако Riot уже не скрывает планы на будущее. Компания рассматривает возможность распространить требование:

на игроков высших рангов Valorant — Ascendant, Immortal и Radiant;
а в перспективе — и на League of Legends, хотя сейчас таких ограничений там нет.

Если Vanguard заблокирует запуск игры, решение будет одно: обновить BIOS до последней версии, выпущенной производителем материнской платы. Уязвимость затрагивает материнские платы от ASRock, Asus, Gigabyte и MSI. Обновления уже вышли или готовятся для части моделей, но ситуация выглядит неоднозначно.

Скорее всего, массовой проблемы не будет. Игроки на высоких рангах обычно обновляют железо чаще других, а требование пока применяется точечно. Но сам прецедент тревожный: античиты всё глубже залезают в прошивки и аппаратный уровень, и со временем такие проверки могут стать нормой.

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »