A kiberbiztonsági kutatók szerint az utóbbi hónapokban drámai mértékben megnőtt az automatizált támadások száma, amelyek célpontjai elsősorban PHP-alapú webszerverek, IoT-eszközök és felhőalapú gateway-rendszerek. A Mirai, Gafgyt és Mozi botnetekhez hasonló hálózatok újra aktívan kihasználják a régi, ismert sérülékenységeket és a hibásan konfigurált felhőszolgáltatásokat annak érdekében, hogy új eszközöket vonjanak be a fertőzött hálózataikba.
A Qualys Threat Research Unit (TRU) friss elemzése szerint a támadások egyik fő célpontja a PHP, mivel a legtöbb tartalomkezelő rendszer – például a WordPress, a Drupal vagy a Craft CMS – erre a nyelvre épül. A PHP alapú rendszerek gyakran futnak elavult bővítményekkel, nem biztonságos fájl-hozzáférési beállításokkal és gyenge konfigurációval, ami ideális terepet biztosít az automatizált exploitok számára. A szakértők több, jól ismert távoli kódfuttatási (RCE) sebezhetőséget azonosítottak, amelyeket a támadók még mindig aktívan használnak. Ezek a sebezhetőségek lehetővé teszik, hogy a támadó parancsokat futtasson a célrendszeren, ezáltal teljes hozzáférést szerezzen az érintett szerverhez.
Az egyik különösen érdekes támadási módszer az Xdebug hibakereső modulra épít. A Qualys több olyan HTTP GET kérést is észlelt, amelyek a [/?XDEBUG]_[SESSION]_[START=phpstorm] paramétert használták, hogy kapcsolatot kezdeményezzenek egy fejlesztői környezettel, például a PhpStorm IDE-vel. Ha az Xdebug modult véletlenül bekapcsolva hagyják éles környezetben, az lehetőséget adhat a támadóknak arra, hogy betekintést nyerjenek az alkalmazás működésébe vagy érzékeny adatokat szerezzenek meg a memóriából. A támadók emellett továbbra is intenzíven keresik a kiszivárgott hitelesítési adatokat, API-kulcsokat és hozzáférési tokeneket. Ezzel párhuzamosan a sebezhető IoT-eszközök is kedvelt célpontok, mivel ezek könnyen bevonhatók egy botnetbe.
A kutatók megfigyelései szerint a szkennelési és kihasználási tevékenység döntő hányada ismert felhőszolgáltatások infrastruktúrájáról indul, így például az AWS, a Google Cloud, a Microsoft Azure, a DigitalOcean vagy az Akamai rendszereiből. Ez a gyakorlat egyre elterjedtebb. A támadók legitim szolgáltatók hálózatát használják ugrópontként, hogy elrejtsék valódi kilétüket és földrajzi helyzetüket.
Ma már nincs szükség komoly technikai felkészültségre ahhoz, hogy valaki hatékony támadásokat hajtson végre. A nyíltan hozzáférhető exploit-kit csomagok, botnet-frameworkök és szkennelő eszközök révén akár kezdő támadók is jelentős károkat tudnak okozni.
A védekezés legfontosabb lépései közé tartozik a rendszerek és eszközök naprakészen tartása, a fejlesztői és hibakereső modulok eltávolítása az éles környezetekből, valamint a hozzáférési adatok és titkos kulcsok biztonságos tárolása. A felhőszolgáltatások nyilvános elérését minden esetben korlátozni kell.
A botnetek szerepe időközben megváltozott: míg korábban főként DDoS támadások és kriptobányász kampányok eszközei voltak, ma már a hitelesítési adatok elleni támadásokban, például credential stuffing és password spraying akciókban is kulcsszerepet kapnak.
A NETSCOUT kutatói közben egy új, AISURU nevű DDoS-botnetet azonosítottak, amelyet a „TurboMirai” kategóriába soroltak, utalva annak megnövelt teljesítményére. A becslések szerint ez a hálózat képes elérni a 20 terabit/másodperces támadási kapacitást, és főként otthoni routerekből, CCTV-rendszerekből és DVR-eszközökből épül fel. Az AISURU nemcsak DDoS-támadásokra alkalmas, hanem többfunkciós: támogat credential stuffing akciókat, AI-vezérelt webscraping műveleteket, spamelést és adathalász kampányokat is. A botnet egyik legveszélyesebb eleme a beépített residential proxy szolgáltatás, amely lehetővé teszi, hogy fizető ügyfelek a fertőzött eszközökön keresztül irányítsák a forgalmukat. Ez nemcsak az anonimitást növeli, hanem a hálózati forgalmat is természetes felhasználói aktivitásként álcázza. Brian Krebs biztonsági újságíró szerint az elmúlt félévben az ilyen típusú proxy-szolgáltatások robbanásszerűen növekedtek, ami jól mutatja, mennyire jövedelmezővé vált a fertőzött eszközök újrahasznosítása a kiberbűnözők számára.