Pale Moon 浏览器的作者 有关 archive.palemoon.org 服务器遭到入侵的信息,该服务器存储了过去浏览器版本(最高版本为 27.6.2)的存档。在黑客攻击期间,攻击者使用恶意软件感染了服务器上 Windows 的 Pale Moon 安装程序的所有可执行文件。初步数据显示,该恶意软件的替换时间为27年2017月9日,直到2019年XNUMX月XNUMX日才被检测到,即一年半以来一直未被注意到。
有问题的服务器目前处于离线状态以进行调查。分发当前版本的服务器
Pale Moon 不受影响,该问题仅影响从存档安装的旧 Windows 版本(随着新版本的发布,版本将移至存档)。在黑客攻击期间,服务器运行的是 Windows,并在从运营商 Frantech/BuyVM 租用的虚拟机中运行。目前尚不清楚该漏洞是被利用的类型,以及它是特定于 Windows 还是影响某些正在运行的第三方服务器应用程序。
获得访问权限后,攻击者有选择地用木马软件感染与 Pale Moon 相关的所有 exe 文件(安装程序和自解压档案) ,旨在通过替换剪贴板上的比特币地址来窃取加密货币。 zip 存档内的可执行文件不受影响。用户可能已通过检查附加到文件的数字签名或 SHA256 哈希来检测到对安装程序的更改。使用的恶意软件也成功了 最新的防病毒软件。
26 年 2019 月 XNUMX 日,在攻击者的服务器活动期间(尚不清楚这些攻击者是否与第一次黑客攻击或其他攻击相同),archive.palemonon.org 的正常运行被中断 - 主机无法访问重启,数据就损坏了。这包括系统日志的丢失,其中可能包含表明攻击性质的更详细的跟踪。发生此故障时,管理员没有意识到受到损害,并使用基于 CentOS 的新环境并将 FTP 下载替换为 HTTP,将存档恢复到运行状态。由于该事件未被注意到,备份中已被感染的文件被转移到新服务器。
分析可能的妥协原因,假设攻击者通过猜测托管人员帐户的密码、获得对服务器的直接物理访问、攻击虚拟机管理程序以获取对其他虚拟机的控制权、侵入 Web 控制面板来获得访问权限、拦截远程桌面会话(使用 RDP 协议)或利用 Windows Server 中的漏洞。恶意操作是在服务器本地执行的,使用脚本对现有可执行文件进行更改,而不是从外部重新下载它们。
该项目的作者声称,只有他拥有该系统的管理员访问权限,访问权限仅限于一个IP地址,并且底层Windows操作系统已更新并免受外部攻击。同时,使用RDP和FTP协议进行远程访问,在虚拟机上启动潜在不安全的软件,可能导致黑客攻击。然而,Pale Moon 的作者倾向于认为,此次黑客攻击是由于对提供商的虚拟机基础设施保护不足而造成的(例如,有一次,通过使用标准虚拟化管理界面选择不安全的提供商密码) OpenSSL 网站)。
来源: opennet.ru