يستغل مشغلو برامج الفدية Cring ثغرة Adobe ColdFusion المستمرة منذ 11 عامًا
قامت مجموعة من مجرمي الإنترنت غير معروفين في غضون دقائق باختراق خادم عن بعد باستخدام إصدار قديم من Adobe ColdFusion 9 وسيطروا عليها, و 79 وبعد ساعات، تم نشر برنامج الفدية Cring على الخادم.
تم استخدام خادم مملوك لمقدم خدمة غير مسمى لجمع الجداول الزمنية والبيانات المحاسبية لكشوف المرتبات, وكذلك استضافة عدد من الأجهزة الافتراضية.
حسب إلى خبراء شركة أمن المعلومات سوفوس, تم تنفيذ الهجمات من عنوان إنترنت تابع لمزود الإنترنت الأوكراني الفيضان الأخضر.
سوفوس كبير الباحثين أندرو براندت يقول الأجهزة مع عفا عليها الزمن, البرامج الضعيفة هي طعام شهي للمتسللين.
لكن, المفاجأة الكبرى هي حقيقة أن الخادم الذي يحتوي على برنامج عمره 11 عامًا تمت مهاجمته بواسطة برامج الفدية كان يُستخدم بشكل نشط ويومي. كقاعدة, الأكثر عرضة للخطر هي الأجهزة غير المستخدمة أو المنسية “آلات الأشباح”.
بعد الحصول على الوصول الأولي إلى الخادم, استخدم المهاجمون أساليب متطورة مختلفة لإخفاء الملفات الضارة, حقن الكود في الذاكرة, وإخفاء الهجوم عن طريق الكتابة فوق الملفات ببيانات تالفة. فضلاً عن ذلك, قام المتسللون بإلغاء تنشيط الحلول الأمنية من خلال الاستفادة من حقيقة تعطيل ميزات مكافحة التلاعب.
بخاصة, استغل المهاجمون الثغرات الأمنية في اجتياز الدليل (CVE-2010-2861) في برنامج أدوبي كولد فيوجن 9.0.1 ووحدة التحكم الإدارية السابقة. سمحت الثغرات الأمنية بقراءة الملفات العشوائية عن بعد, بما في ذلك الملفات التي تحتوي على تجزئات كلمة مرور المسؤول (كلمة المرور.خصائص).
في المرحلة التالية من الهجوم, استغل المتسللون ثغرة أمنية سابقة في ColdFusion (CVE-2009-3960) لتحميل ورقة أنماط متتالية ضارة (CSS) ملف إلى الخادم المهاجم, والذي قام بدوره بتنزيل الملف القابل للتنفيذ Cobalt Strike Beacon.
اسمحوا لي أن أذكرك أننا تحدثنا عن حقيقة ذلك البرمجيات الخبيثة الغريبة يمنع الضحايا من زيارة مواقع القراصنة.
