Panulis browser Bulak Moon Inpo ngeunaan kompromi tina server archive.palemoon.org, nu nyimpen arsip tina browser kaliwat Kaluaran nepi ka na kaasup versi 27.6.2. Salila hack, panyerang kainféksi sadaya file anu tiasa dieksekusi sareng pamasang Pale Moon pikeun Windows anu aya dina server sareng malware. Numutkeun data awal, substitusi malware dilaksanakeun dina 27 Désémber 2017, sareng dideteksi ngan dina 9 Juli 2019, nyaéta. tetep unnoticed pikeun sataun satengah.
Server anu bermasalah ayeuna offline pikeun panalungtikan. Server ti mana sékrési ayeuna disebarkeun
Bulak Moon teu kapangaruhan, masalahna ngan mangaruhan versi Windows heubeul dipasang ti arsip (kaluaran dipindahkeun ka arsip sakumaha versi anyar dileupaskeun). Salila hack, server ngajalankeun Windows sarta ngajalankeun dina mesin virtual disewa ti operator Frantech / BuyVM. Henteu acan écés naon jinis kerentanan anu dieksploitasi sareng naha éta khusus pikeun Windows atanapi mangaruhan sababaraha aplikasi server pihak katilu anu ngajalankeun.
Saatos kéngingkeun aksés, panyerang sacara selektif nginféksi sadaya file exe anu aya hubunganana sareng Pale Moon (pamasang sareng arsip ékstraksi diri) nganggo parangkat lunak Trojan. , aimed di maok cryptocurrency ku ngaganti alamat bitcoin dina clipboard. File anu tiasa dieksekusi di jero arsip pos henteu kapangaruhan. Parobihan kana pamasang tiasa dideteksi ku pangguna ku mariksa tanda tangan digital atanapi hashes SHA256 napel kana file. The malware dipaké ogé suksés paling antipirus ayeuna.
Dina 26 Mei 2019, nalika kagiatan dina server panyerang (henteu écés naha éta panyerang anu sami sareng dina hack munggaran atanapi anu sanés), operasi normal archive.palemoon.org kaganggu - host henteu tiasa. pikeun reboot, sarta data ieu ruksak. Ieu kalebet leungitna log sistem, anu tiasa kalebet ngambah langkung rinci anu nunjukkeun sifat serangan. Dina waktos kagagalan ieu, pangurus henteu sadar kana kompromi sareng malikkeun arsip ka operasi nganggo lingkungan dumasar CentOS énggal sareng ngagentos undeuran FTP sareng HTTP. Kusabab kajadian éta henteu diperhatoskeun, file tina cadangan anu parantos kainféksi ditransferkeun ka server énggal.
Nganalisis alesan kamungkinan pikeun kompromi, éta dianggap yén panyerang meunang aksés ku guessing sandi ka akun staf hosting, gaining aksés fisik langsung ka server, narajang hypervisor pikeun meunangkeun kontrol ngaliwatan mesin virtual sejen, hacking panel kontrol web. , intercepting sési desktop jauh (protokol RDP dipaké) atawa ku exploitasi kerentanan dina Windows Server. Tindakan jahat dilaksanakeun sacara lokal dina server nganggo skrip pikeun ngarobih file anu tiasa dieksekusi, sanés ku ngaunduh deui ti luar.
Panulis proyék nyatakeun yén ngan ukur anjeunna ngagaduhan aksés administrator kana sistem, aksés dugi ka hiji alamat IP, sareng OS Windows anu didasarkeun diropéa sareng ditangtayungan tina serangan éksternal. Dina waktos anu sami, protokol RDP sareng FTP dianggo pikeun aksés jauh, sareng parangkat lunak anu berpotensi henteu aman diluncurkeun dina mesin virtual, anu tiasa nyababkeun peretasan. Sanajan kitu, panulis Pale Moon condong yakin yén hack ieu komitmen alatan panyalindungan cukup tina infrastruktur mesin virtual panyadia (contona, dina hiji waktu, ngaliwatan seleksi hiji sandi panyadia aman ngagunakeun panganteur manajemén virtualization baku. situs web OpenSSL).
sumber: opennet.ru