Sicherheitsforscher von Imperva haben eine großangelegte Malware-Kampagne aufgedeckt, die Python-basierte Botnets einsetzt, um PHP-Webserver zu kompromittieren. Die Angreifer nutzen die gehackten Server primär zur Verbreitung illegaler Glücksspielplattformen in Indonesien, was eine neue Dimension der Zweckentfremdung legitimer Webressourcen aufzeigt.
GSocket: Von legitimem Tool zur Cyber-Bedrohung
Im Zentrum der Angriffe steht das Open-Source-Tool GSocket (Global Socket), das ursprünglich für legitime Systemkommunikation entwickelt wurde. Die Analyse zeigt Millionen verdächtiger Anfragen von Python-Clients, die auf die Installation von GSocket abzielen. Cyberkriminelle missbrauchen das Tool mittlerweile systematisch für Cryptojacking-Aktivitäten und die Implementierung schadhafter JavaScript-Code-Sequenzen zur Erfassung von Zahlungsdaten.
Gezielte Angriffe auf Bildungsplattformen
Die Angreifer fokussieren sich besonders auf Server mit installierten Moodle-Lernmanagementsystemen. Die Persistenz der Malware wird durch Modifikationen der System-Dateien bashrc und crontab gewährleistet, wodurch die Schadsoftware selbst nach Entfernung der initial genutzten Webshells aktiv bleibt. Diese sophisticated Vorgehensweise erschwert die Erkennung und Beseitigung der Infiltration erheblich.
Raffinierte Traffic-Manipulation
Nach erfolgreicher Kompromittierung implementieren die Angreifer speziell präparierte PHP-Dateien mit HTML-Content, der Links zu illegalen Glücksspielseiten enthält. Ein ausgeklügelter Filtermechanismus sorgt dafür, dass der manipulierte Content ausschließlich Suchmaschinen-Crawlern angezeigt wird, während reguläre Besucher automatisch auf alternative Domains wie pktoto[.]cc umgeleitet werden.
Innovative Umgehung von Blocking-Maßnahmen
Die Strategie der Angreifer, legitime Websites ohne Glücksspielbezug zu kompromittieren, ermöglicht den Aufbau eines komplexen Redirect-Netzwerks. Dieses System gewährleistet die schnelle Substitution blockierter Ressourcen und minimiert Ausfallzeiten der illegalen Glücksspielplattformen durch kontinuierliche Anpassung der Infrastruktur.
Diese Kampagne verdeutlicht die zunehmende Sophistication cyberkrimineller Aktivitäten bei der Instrumentalisierung legitimer Tools und Webressourcen. Für Systemadministratoren und Sicherheitsverantwortliche empfiehlt sich die Implementierung mehrschichtiger Sicherheitsmaßnahmen, darunter verstärktes Monitoring verdächtiger Aktivitäten, regelmäßige Security-Updates und systematische Software-Audits. Besondere Aufmerksamkeit sollte der Überwachung von Python-basierten Zugriffen und der Integritätsprüfung kritischer Systemdateien gewidmet werden.
