黑客利用Drupal漏洞进行加密货币挖掘

被网络犯罪分子利用Drupalgeddon2和Drupalgeddon3漏洞破坏的Drupal网站提供加密货币矿工，远程管理工具（RAT）和技术支持诈骗。

最近几个月在Drupal内容管理系统（CMS）中修补了两个非常严重的漏洞。安全漏洞被追踪为CVE-2018-7600和CVE-2018-7602，并且它们都允许远程执行代码。

恶意行为者在修补程序发布两周后开始利用被称为Drupalgeddon2的CVE-2018-7600，并且在概念验证（PoC）漏洞利用公布后不久。

Drupal安全团队和开发人员Jasper Mattsson在分析CVE-2018-7600期间发现了名为Drupalgeddon 3的CVE-2018-7602，该漏洞也报告了原始漏洞。黑客在补丁发布后立即开始利用CVE-2018-7602。

网络犯罪分子利用这些漏洞劫持服务器并将其用于加密货币挖掘。一些网站已经被已知也参与分布式拒绝服务（DDoS）攻击的僵尸网络所攻击。

安全公司Malw​​arebytes的研究人员最近对涉及Drupalgeddon2和Drupalgeddon3 的客户端攻击进行了分析，即受害网站向访问者推送的威胁。

专家们注意到，近一半被黑客入侵的Drupal站点运行的是CMS的7.5.x版本，而大约30％的版本运行的是7.3.x版本，最近一次更新是在2015年8月。

毫不奇怪，超过80％的被黑网站一直在为加密货币矿工提供服务，主要是通过Coinhive注入。

“我们收集了不同类型的代码注入，从简单明了的文本到长时间混淆的混淆。值得注意的是，在很多情况下，代码是动态的 - 最有可能是一种逃避检测的技术，“研究人员在一篇博客文章中表示。

Malwarebytes观察到的攻击中仅有12％以伪装成网页浏览器更新的方式提供了RAT或密码窃取程序。

技术支持欺诈占安全公司发现的客户端攻击的近7％。在这些攻击中，网站访问者通常被重定向到锁定浏览器并指示他们拨打“技术支持”号码的页面。