Специалисты по кибербезопасности компании Imperva выявили масштабную вредоносную кампанию, использующую Python-ботов для компрометации веб-серверов с PHP-приложениями. Основная цель злоумышленников — продвижение нелегальных игорных платформ на территории Индонезии через взломанные веб-ресурсы.
Механика атаки и использование GSocket
В ходе исследования обнаружены миллионы подозрительных запросов от Python-клиентов, направленных на установку инструмента GSocket (Global Socket). Данное open-source решение, изначально предназначенное для легитимного создания каналов связи между системами, в последнее время активно эксплуатируется киберпреступниками для криптоджекинга и внедрения вредоносного JavaScript-кода с целью хищения платежных данных.
Особенности компрометации серверов
Злоумышленники преимущественно атакуют серверы с установленной системой управления обучением Moodle. Для развертывания GSocket используются существующие веб-шеллы на уже скомпрометированных серверах. Особую опасность представляет модификация системных файлов bashrc и crontab, обеспечивающая персистентность вредоносного ПО даже после удаления веб-шеллов.
Механизм перенаправления трафика
После получения доступа к серверам атакующие размещают специально сформированные PHP-файлы с HTML-контентом, содержащим ссылки на нелегальные игорные сервисы. Примечательно, что внедренный код содержит механизм фильтрации, позволяющий отображать контент только поисковым роботам, в то время как обычные пользователи автоматически перенаправляются на другие домены, чаще всего на ресурс pktoto[.]cc.
Тактика обхода блокировок
Исследователи отмечают, что взломанные сайты изначально не имели отношения к азартным играм. Такой подход позволяет злоумышленникам создать разветвленную сеть редиректов, обеспечивающую быструю замену заблокированных ресурсов новыми, минимизируя простои в работе нелегальных игорных платформ.
Данная кампания демонстрирует растущую изощренность киберпреступников в использовании легитимных инструментов и компрометации веб-серверов для продвижения нелегальных сервисов. Администраторам веб-ресурсов рекомендуется усилить мониторинг подозрительной активности, регулярно обновлять системы безопасности и проводить аудит установленного программного обеспечения.
