浏览器的作者Pale Moon透露了有关未经授权访问其中一台服务器的信息 可以从Web浏览器“ archive.palemoon.org”中获得,该浏览器将浏览器以前版本的存档保持在27.6.2版(包括XNUMX版)以下。
通过这种访问方式,攻击者感染了恶意软件 服务器上的所有可执行文件 苍白的月亮安装程序 用于窗户s。 根据初步数据, 该恶意软件替换于27年2017月9日执行,仅在2019年XNUMX月XNUMX日被检测到,也就是说,一年半没有被注意。
该服务器当前被禁用以进行调查。 发行当前版本的Pale Moon的服务器没有受到影响, 该问题仅影响Windows的旧版本 从已描述的服务器安装(如果有新版本,则旧版本将移至该服务器)。
获得访问权限后, 攻击者有选择地感染了所有与苍白月亮相关的exe文件 这是安装程序和自解压文件 与Win32 / ClipBanker.DY Trojan软件一起旨在窃取加密货币 通过替换交换缓冲区中的比特币地址。
zip文件中的可执行文件不受影响。 用户可以通过检查散列或数字签名文件附带的SHA256来检测安装程序中的更改。 所有相关的防病毒程序也可以成功检测到所使用的恶意软件。
在入侵Pale Moon服务器期间,浏览器的作者详细介绍了以下内容:
“该服务器在Windows上运行,并在从运营商Frantech / BuyVM租用的虚拟机上启动。 ”
目前尚不清楚利用的是哪种类型的漏洞,它是否特定于Windows或是否影响了任何正在运行的第三方服务器应用程序。
关于骇客
26年2019月XNUMX日,在攻击者服务器上的活动过程中(尚不清楚他们与第一次黑客入侵或其他攻击时的攻击者是否相同), archive.palemoon.org的正常功能被破坏-主机无法重新启动,并且数据已损坏。
包含系统日志丢失,其中可能包括指示攻击性质的更详细的跟踪信息。
在此裁定之时,管理员尚未意识到这一承诺。 他们使用新的基于CentOS的环境恢复了文件的工作,并使用HTTP取代了通过FTP进行的下载。
由于该事件未在新服务器上看到, 已被感染的备份文件已被传输。
在分析可能的折衷原因时, 假定攻击者已通过从托管人员获取帐户密码来获得访问权限获得对服务器的物理访问权限,攻击管理程序以控制其他虚拟机,侵入Web控制面板并拦截远程桌面会话相对简单。
另一方面,可以认为攻击者使用了RDP或利用了Windows Server中的漏洞。。 恶意操作是使用脚本在服务器上本地执行的,以对现有的可执行文件进行更改,而不是从外部重新加载它们。
该项目的作者确保只有管理员才能访问系统,并且访问仅限于IP地址 并且基本的Windows操作系统是最新的,并受到了外部攻击的保护。
同时,RDP和FTP协议用于远程访问,并且在虚拟机上发布了可能不安全的软件,这可能是黑客入侵的原因。
但是,Pale Moon的作者偏爱使用该版本的版本,因为对提供商的虚拟机基础设施的保护不足(例如,使用标准虚拟化管理界面通过选择不受信任的供应商密码对OpenSSL网站进行了黑客攻击) )