Фахівці з кібербезпеки компанії Imperva виявили масштабну шкідливу кампанію, в рамках якої зловмисники використовують автоматизованих Python-ботів для компрометації веб-серверів, що працюють з PHP-додатками. Основною метою атак є поширення посилань на нелегальні гральні платформи в Індонезії через захоплені веб-ресурси.
Технічні особливості атаки та роль інструменту GSocket
Дослідники зафіксували мільйони підозрілих запитів від Python-клієнтів, спрямованих на впровадження інструменту GSocket (Global Socket). Цей open-source засіб, який спочатку розроблявся для легітимного створення каналів зв’язку між системами, зараз активно використовується кіберзлочинцями для криптоджекінгу та впровадження шкідливого JavaScript-коду, призначеного для викрадення платіжних даних користувачів.
Методика компрометації та забезпечення стійкості шкідливого ПЗ
Основною мішенню зловмисників стали сервери з встановленою системою управління навчанням Moodle. Для розгортання GSocket використовуються вже наявні веб-шелли на скомпрометованих серверах. Особливу небезпеку становить модифікація системних файлів bashrc та crontab, що забезпечує збереження шкідливого програмного забезпечення навіть після видалення веб-шеллів.
Складна система перенаправлення трафіку
Після отримання контролю над серверами, атакуючі розміщують спеціально створені PHP-файли з HTML-вмістом, що містять посилання на нелегальні гральні сервіси. Впроваджений код включає механізм фільтрації, який показує контент тільки пошуковим роботам, тоді як звичайних користувачів автоматично перенаправляє на інші домени, найчастіше на ресурс pktoto[.]cc.
Стратегія обходу блокувань та масштаби загрози
Аналіз показав, що зловмисники цілеспрямовано атакують легітимні веб-ресурси, які раніше не мали жодного відношення до азартних ігор. Такий підхід дозволяє створити розгалужену мережу редиректів, що забезпечує швидку заміну заблокованих ресурсів новими, мінімізуючи простої в роботі нелегальних гральних платформ.
Виявлена кампанія демонструє зростаючу витонченість методів кіберзлочинців та їхню здатність ефективно використовувати легітимні інструменти для досягнення протиправних цілей. Для захисту від подібних атак рекомендується посилити моніторинг підозрілої активності, регулярно оновлювати системи безпеки та проводити комплексний аудит встановленого програмного забезпечення. Особливу увагу слід приділити перевірці цілісності системних файлів та моніторингу незвичайних змін у конфігурації серверів.
