دروپال، قربانی حملات استخراج کنندگان ارز دیجیتال

فروردین امسال تمامی نسخه های سامانه مدیریت محتوا دروپال (Drupal CMS) تحت تأثیر یک آسیب پذیری حساس قرار گرفت که از طریق آن، دسترسی و کنترل وب سایت را در اختیار مهاجم قرار می داد. حملات مبتنی بر این آسیب پذیری Drupalgeddon  نام گرفت. پس از این رویداد بسته اصلاحیه یا پچ (Patch) این آسیب پذیری توزیع شد اما بسیاری از سایت ها از این موضوع اطلاع نداشته و هم اکنون نیز نسبت به آن آسیب پذیر هستند. حال هکر های ارز های دیجیتالی کمپینی تشکیل داده اند که با عنوان DrupalGangster شناخته می شود. آنان از آسیب پذیری Drupalgeddon 2.0 با شناسه CVE-2018-7600 برای انجام حملات اجرای فرمان از راه دور (remote command injection) برای استخراج ارز های رمز پایه استفاده می کنند. هدف این کمپین تبدیل وب سرور های دروپال به بات نت هایی برای استخراج رمز ارز مونرو می باشد.

فعالیت این کمپین در ابتدا با تعداد محدودی IP شروع شد اما پس از مدت کوتاهی به طور چشم گیری افزایش یافت. احتمال می رود که مهاجمان قبل از حمله، لیستی از میزبان های آسیب پذیر (Vulnerable Hosts) را در اختیار داشته اند. میزبان هایی که این آسیب پذیری را پچ کرده بودند، تاکنون مورد آسیب این کمپین قرار نگرفته اند. اما میزبان های دیگر قربانی این کمپین هکری شدند و در حملات آن شرکت کردند که باعث افزایش تعداد IP هایی شده است که حملات از آن جا صورت گرفته است. این مهاجمان، بدافزار خود را با استفاده از آسیب پذیری قدیمی دروپال در سرور های مختلف توزیع و آن ها را آلوده کرده اند. بیشترین تعداد حملات از آمریکا با تعداد 119,157 سرور و پس از آن فرانسه با تعداد 109,359 سرور صورت گرفته است.

نحوه انجام این حملات به این صورت است که میزبان آلوده شده درخواستی را همراه با یک اسکریپت مخرب برای سوء استفاده از آسیب پذیری Drupalgeddon 2.0 به اهداف خود ارسال می کرد. سپس این اسکریپت، استخراج کننده XMRig را که به استخر Dwarfpool متصل است اجرا می کند. یک اسکریپت ثانویه نیز به نام scrape2.py اجرا می شود که لیستی از میزبان های آسیب پذیر را فراهم می کند. در آخر هم بد افزار برای افزایش بات نت ها از میزبان آلوده شده حملاتی را به دیگر میزبان ها صورت داده و با استفاده از آسیب پذیری از آن ها سوء استفاده می کند.