Исследователи из Incapsula наблюдают криптоджекинг-кампанию, использующую уязвимость Drupalgeddon 2 для распространения вредоносного ПО с игривым названием Kitty. Этот зловред позволяет скрытно использовать для майнинга вычислительные мощности не только веб-сервера, но и посетителей сайтов.
Патч для уязвимости CVE-2018-7600, получившей известность как Drupalgeddon 2, вышел в конце марта; спустя две недели в Imperva зафиксировали первые попытки использования этой бреши в атаках. На тот момент вредоносная активность в основном ограничивалась сканами, хотя наблюдатели также зафиксировали отдельные случаи установки бэкдоров и майнеров криптовалюты.
Текущие Kitty-атаки происходят по следующему сценарию. В результате выполнения bash-скрипта, внедренного на сервер приложений путем эксплойта Drupalgeddon 2, на диск записывается файл kdrupal.php — бэкдор, обеспечивающий автору атаки постоянный доступ к зараженной машине.
После этого Kitty регистрирует задачу планировщика (крон), в соответствии с которой на сервер каждую минуту с удаленного узла загружается копия bash-скрипта и запускается на исполнение. Таким образом, злоумышленники имеют возможность повторно заражать серверы и быстро раздавать обновления.
Получив постоянный доступ к серверу, атакующий устанавливает популярный майнер XMRig, который сразу же приступает к добыче Monero. Однако мошенникам этого мало — они также решили охватить всю потенциальную аудиторию зараженного сервера приложений. С этой целью в разные веб-ресурсы на сервере внедряется майнер me0w.js — слегка видоизмененный вариант проекта webminerpool с открытым исходным кодом, доступного на Github.
Зловредный скрипт внедряется в файл index.php и во все JavaScript-файлы на сервере, с тем чтобы он отрабатывал каждый раз, когда посетитель заходит на сайт через браузер.
В заключение автор атаки, используя команду echo, оставляет в консоли следующее дерзкое послание: me0w, don't delete pls i am a harmless cute little kitty, me0w («мяу, не удаляйте, пжст, я такой мимишный котенок, мяу»).
По данным Incapsula, адрес кошелька Monero, который используют распространители Kitty, засветился также в начале апреля в ходе атак на серверы с CMS-системой vBulletin 4.2.X.