🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Home
Threat Intelligence Posts
Breach

Aviso da Intel sobre a ameaça do KashmirBlack Botnet

O CloudSEK Threat Intelligence Advisory on KashmirBlack infecta sites que usam software desatualizado e explora o CVE-2017-9841 em plataformas CMS.
Updated on
April 17, 2026
Published on
October 30, 2020
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
Tipo
Botnet
Alvo
Sistema de gerenciamento de conteúdo (CMS)O botnet KashmirBlack está ativo desde novembro de 2019 e está vinculado a um grupo de hackers indonésio conhecido como PhantomGhost. Anteriormente, o objetivo principal do botnet era infectar sites e usar seus servidores para mineração de criptomoedas, redirecionando o tráfego legítimo para páginas de spam e desfigurando sites. Mas em maio de 2020, o KashmirBlack passou por algumas mudanças. A botnet agora lida com centenas de bots, cada um se comunicando com o servidor C2, realizando ataques de força bruta, instalando backdoors e expandindo continuamente o tamanho da botnet. O KashmirBlack procura sites que usam software desatualizado e, em seguida, usa os exploits para detectar vulnerabilidades conhecidas, para comprometer o site e seu servidor subjacente. Atualmente, o botnet tem como alvo plataformas de sistema de gerenciamento de conteúdo (CMS).O botnet infecta máquinas explorando uma vulnerabilidade de execução remota de código do PHPUnit (CVE-2017-9841) em plataformas CMS. A rede da botnet está espalhada por 30 países, controlada por um único servidor C2, com mais de 60 servidores substitutos. O botnet utiliza várias vulnerabilidades para se esconder em máquinas comprometidas e manter suas operações. Além disso, a botnet usa estruturas de desenvolvimento de software como DevOps e Agile para adicionar novos dispositivos a ela. A maioria das empresas é afetada devido ao recente aumento no número de usuários que utilizam plataformas CMS para oferecer suporte ao trabalho remoto.[/vc_wp_text] [vc_wp_text]

Impacto

  • O botnet pode ser usado para realizar ataques distribuídos de negação de serviço (DDoS).
  • As credenciais da conta podem vazar, levando à aquisição da conta.
  • Fornece ao atacante acesso a um dispositivo e sua conexão com uma rede.
[/vc_wp_text] [vc_wp_text]

COI

Bot de spam - arquivos maliciosos e comprometidos
  1. /index.php
  2. /priv_sym/conf.php
  3. /priv_sympy/sym.py
  4. /tmp/pear/download/imagick-3.4.4.tgz
  5. /wp-content/plugins/three-column-screen-layout/db.php
  6. /wp-content/plugins/wordfence/url/cach/classes/model/wp-pingg.php
  7. /wp-content/sqlapi.php
  8. /wp-content/themes/danfe/db.php
  9. /wp-content/themes/danfe/indx.php
  10. /wp-content/themes/danfe/ramage_Libytheidae.php
  11. /wp-content/themes/danfe/tbl_status.php
  12. /wp-content/themes/danfe/wp_class_datlib.php
  13. /wp-content/themes/danfe/wp-data.php
  14. /wp-load.php
  15. Arquivos com o prefixo 'original1'.
IPs negros conhecidos da Caxemira
  1. 101.50.3.132
  2. 160,153,192,222
  3. 198,198.189
  4. 35,240,254,161
  5. 103,11.75,15
  6. 161,189,159,172
  7. 198,37,123,60
  8. 35,242,128,177
  9. 103,116.16,67
  10. 161,189,202,40
  11. 198,57,247,202
  12. 35,244,124,106
  13. 103,145,226,104
  14. 162,144,18,118
  15. 198,58,99,254
  16. 35,244,72,212
  17. 103,147,154,41
  18. 162,144,68,170
  19. 199.101,100,123
  20. 35,247,132,6
  21. 103,21,58,29
  22. 162,214,71,13
  23. 199.101,100,124
  24. 35,247,160,99
  25. 103,229,72,13
  26. 162,241,143,7
  27. 199.188,200.224
  28. 35,247,185,96
  29. 103,229,72,89
  30. 162,241,156,242
  31. 199,79,62,126
  32. 37,187,163,201
[/vc_wp_text] [vc_wp_text]

Mitigação

  1. Certifique-se de que os arquivos e módulos principais do CMS estejam atualizados.
  2. Use senhas fortes.
  3. Implemente o firewall de aplicativos web (WAF).
  4. O acesso deve ser negado ou limitado para arquivos e caminhos confidenciais, como wp-config.php, install.php e eval-stdin.php.
  5. Mantenha seu sistema atualizado e use um software antivírus.
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS
May 29, 2023
Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI
January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
Agende uma demonstração
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more