Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Индонезийские хакеры используют серверы с PHP-приложениями для рекламы запрещённых сайтов

20/01/25

hack212-2

Исследователи безопасности выявили новую масштабную кампанию, нацеленную на серверы с PHP-приложениями, для продвижения сайтов азартных игр в Индонезии. По данным компании Imperva, за последние два месяца зарегистрирован значительный объём атак с использованием Python-ботов. Эти действия связывают с ростом количества сайтов азартных игр на фоне усиленного контроля со стороны властей, пишет Securitylab.

Атаки включают использование утилиты GSocket (Global Socket) — открытого инструмента для установления соединений между машинами, несмотря на сетевые ограничения. GSocket ранее применялся в криптоджекинге и для внедрения вредоносных скриптов с целью кражи платёжных данных.

Хакеры использовали уже скомпрометированные серверы, где были установлены веб-шеллы, для внедрения GSocket. Основной целью стали серверы, работающие на платформе Moodle — популярной системе управления обучением (LMS). Для обеспечения работы GSocket даже после удаления веб-шеллов злоумышленники модифицировали системные файлы bashrc и crontab.

Получив доступ к серверам, нападающие внедряли PHP-файлы с HTML-контентом, рекламирующим сайты азартных игр, ориентированные на индонезийскую аудиторию. При этом страницы были настроены так, чтобы открываться только для поисковых роботов, а обычных пользователей перенаправляли на другой домен. Одним из таких сайтов оказался «pktoto[.]cc», известный индонезийский сайт азартных игр.

Компания c/side недавно обнаружила другую глобальную кампанию, затронувшую более 5000 сайтов. Злоумышленники создавали несанкционированные учётные записи администраторов, устанавливали вредоносные плагины и отправляли данные учётных записей на удалённый сервер через домен «wp3[.]xyz». Точный способ начального заражения пока неизвестен, однако кампания получила название WP3.XYZ.

Для защиты от таких атак владельцам сайтов на WordPress рекомендуется обновлять плагины, блокировать подозрительные домены через брандмауэр, проверять наличие подозрительных администраторов или плагинов и незамедлительно удалять их.

Темы:Блокировка сайтовПреступленияонлайн-рекламаазартные игрыАзия
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...