Pengarang browser Pale Moon informasi bab kompromi saka server archive.palemoon.org, kang nyimpen arsip saka browser kepungkur Rilis nganti lan kalebu versi 27.6.2. Sajrone hack, para panyerang nginfeksi kabeh file sing bisa dieksekusi karo installer Pale Moon kanggo Windows sing ana ing server kanthi malware. Miturut data awal, substitusi malware ditindakake tanggal 27 Desember 2017, lan dideteksi mung tanggal 9 Juli 2019, yaiku. tetep ora digatekake suwene setengah taun.
Server bermasalah lagi offline kanggo diselidiki. Server saka ngendi rilis saiki disebarake
Pale Moon ora kena pengaruh, masalah mung mengaruhi versi Windows lawas sing diinstal saka arsip (rilis dipindhah menyang arsip nalika versi anyar dirilis). Sajrone hack, server mbukak Windows lan mlaku ing mesin virtual sing disewa saka operator Frantech / BuyVM. Durung cetha apa jenis kerentanan sing dieksploitasi lan apa iku khusus kanggo Windows utawa kena pengaruh sawetara aplikasi server pihak katelu sing mlaku.
Sawise entuk akses, panyerang kanthi selektif nginfeksi kabeh file exe sing ana gandhengane karo Pale Moon (pemasang lan arsip ekstraksi dhewe) nganggo piranti lunak Trojan. , ngarahake nyolong cryptocurrency kanthi ngganti alamat bitcoin ing clipboard. File eksekusi ing arsip zip ora kena pengaruh. Owah-owahan ing installer bisa uga wis dideteksi dening pangguna kanthi mriksa tandha digital utawa hash SHA256 sing dipasang ing file kasebut. Malware sing digunakake uga sukses antivirus paling anyar.
Ing tanggal 26 Mei 2019, sajrone kegiatan ing server penyerang (ora jelas manawa panyerang kasebut padha karo hack pisanan utawa liyane), operasi normal archive.palemoon.org diganggu - host ora bisa kanggo urip maneh, lan data rusak. Iki kalebu mundhut log sistem, sing bisa uga kalebu jejak sing luwih rinci sing nuduhake sifat serangan kasebut. Nalika gagal iki, pangurus ora ngerti babagan kompromi lan mulihake arsip kasebut supaya bisa digunakake kanthi nggunakake lingkungan basis CentOS anyar lan ngganti download FTP nganggo HTTP. Wiwit kedadeyan kasebut ora diweruhi, file saka serep sing wis kena infeksi ditransfer menyang server anyar.
Nganalisis alasan sing bisa nyebabake kompromi kasebut, dianggep manawa panyerang entuk akses kanthi ngira sandhi menyang akun staf hosting, entuk akses fisik langsung menyang server, nyerang hypervisor kanggo ngontrol mesin virtual liyane, hacking panel kontrol web. , nyegat sesi desktop remot (protokol RDP digunakake) utawa kanthi ngeksploitasi kerentanan ing Windows Server. Tumindak angkoro ditindakake sacara lokal ing server kanthi nggunakake skrip kanggo ngowahi file sing bisa dieksekusi, tinimbang ngunduh maneh saka njaba.
Penulis proyek kasebut nyatakake yen mung dheweke duwe akses administrator menyang sistem kasebut, akses diwatesi mung siji alamat IP, lan OS Windows sing ndasari dianyari lan dilindhungi saka serangan eksternal. Ing wektu sing padha, protokol RDP lan FTP digunakake kanggo akses remot, lan piranti lunak sing potensial ora aman diluncurake ing mesin virtual, sing bisa nyebabake peretasan. Nanging, penulis Pale Moon cenderung percaya manawa hack kasebut ditindakake amarga ora cukup proteksi saka infrastruktur mesin virtual saka panyedhiya (contone, ing siji wektu, liwat pilihan sandi panyedhiya ora aman nggunakake antarmuka manajemen virtualisasi standar. situs web OpenSSL).
Source: opennet.ru