Pale Moon 瀏覽器的作者 有關 archive.palemoon.org 伺服器被入侵的信息,該伺服器儲存了過去瀏覽器版本(最高版本為 27.6.2)的存檔。 在駭客攻擊期間,攻擊者使用惡意軟體感染了伺服器上 Windows 的 Pale Moon 安裝程式的所有可執行檔。 初步數據顯示,該惡意軟體的替換時間為27年2017月9日,直到2019年XNUMX月XNUMX日才被偵測到,即一年半以來一直未被注意到。
有問題的伺服器目前處於離線狀態以進行調查。 分發目前版本的伺服器
Pale Moon 不受影響,該問題僅影響從存檔安裝的舊 Windows 版本(隨著新版本的發布,版本將移至存檔)。 在駭客攻擊期間,伺服器運行的是 Windows,並在從運營商 Frantech/BuyVM 租用的虛擬機器中運行。 目前尚不清楚該漏洞是被利用的類型,以及它是特定於 Windows 還是影響某些正在運行的第三方伺服器應用程式。
獲得存取權限後,攻擊者選擇性地用木馬軟體感染與 Pale Moon 相關的所有 exe 檔案(安裝程式和自解壓縮檔案) ,旨在透過替換剪貼板上的比特幣位址來竊取加密貨幣。 zip 檔案內的可執行檔不受影響。 使用者可能已透過檢查附加到檔案的數位簽章或 SHA256 雜湊來偵測到安裝程式的變更。 使用的惡意軟體也成功了 最新的防毒軟體。
26 年 2019 月 XNUMX 日,在攻擊者的伺服器活動期間(尚不清楚這些攻擊者是否與第一次駭客攻擊或其他攻擊相同),archive.palemoon.org 的正常運作被中斷 - 主機無法存取重啟,資料就損壞了。 這包括系統日誌的遺失,其中可能包含表明攻擊性質的更詳細的追蹤。 發生此故障時,管理員沒有意識到受到損害,並使用基於 CentOS 的新環境並將 FTP 下載替換為 HTTP,將存檔恢復到運行狀態。 由於該事件未被注意到,備份中已被感染的檔案被轉移到新伺服器。
分析可能的妥協原因,假設攻擊者透過猜測託管人員帳戶的密碼、獲得對伺服器的直接實體存取、攻擊虛擬機器管理程式以獲取對其他虛擬機器的控制權、侵入 Web 控制面板來獲得存取權限、攔截遠端桌面存取會話(使用RDP 協定)或利用Windows Server 中的漏洞。 惡意操作是在伺服器本地執行的,使用腳本對現有可執行檔進行更改,而不是透過從外部重新下載它們。
該專案的作者聲稱,只有他擁有該系統的管理員存取權限,存取權限僅限於一個IP位址,並且底層Windows作業系統已更新並免受外部攻擊。 同時,使用RDP和FTP協定進行遠端訪問,在虛擬機器上啟動潛在不安全的軟體,可能導致駭客攻擊。 然而,Pale Moon 的作者傾向於認為,這次駭客攻擊是由於對提供者的虛擬機器基礎設施保護不足而造成的(例如,有一次,透過使用標準虛擬化管理介面選擇不安全的提供者密碼) OpenSSL 網站)。
來源: opennet.ru