Das Botnet KashmirBlack sei seit November 2019 aktiv, schreibt die Security-Firma Imperva in einem Report. Das Botnet sei derzeit in über 30 Ländern aktiv und installiere automatisierte Schadprogramme auf den gekaperten Rechnern. Rund 230'000 Websites seien betroffen.

Eine sechsmonatige Untersuchung von Imperva habe gezeigt, dass das Botnet eine seit zehn Jahren bekannte Schwachstelle ausnutze, die PHPUnit RCE Sicherheitslücke (CVE-2017-9841), und vor allem auf CMS-Systeme wie Wordpress, Joomla oder Drupal abziele.

Die Experten von Imperva schätzen das Bot-Netzwerk als überdurchschnittlich ausgereift ein. Die gut durchdachte Infrastruktur könne ohne grossen Aufwand um neue Exploits und Payloads erweitert werden. Zudem könne das Botnet sich sehr gut tarnen und bleibt so lange Zeit unentdeckt. Der Bot weiche zur Zwischenablage auch auf populäre Command&Controll-Kontrolldomänen wie Pastebin, Github aber auch Dropbox-Server aus.

Die Schäden durch die Angriffe seien mannigfaltig und würden von gestörter Web-Performance bis hin zu Denial-of-Service-Serverausfällen reichen. Zweck der Angriffe seien unter anderem Cryptomining. Sobald ein Server von der Schadsoftware befallen ist, bestehe die Gefahr, dass der Bot weitere Server infiltriere.

Der ausführliche Report " CrimeOps of the KashmirBlack Botnet" ist im Blog von Imperva veröffentlicht worden.