Аналитики предупреждают о росте активности ботнетов против серверов PHP и IoT-устройств
Дата: 30.10.2025Просмотров: 2288
Аналитики предупреждают о росте активности ботнетов против серверов PHP и IoT-устройств
Специалисты по информационной безопасности отмечают значительное увеличение количества автоматических атак на PHP-серверы, IoT-гаджеты и облачные системы, организованных с применением известных ботнетов типа Mirai, Gafgyt и Mozi.
Согласно свежему отчету подразделения исследований угроз компании Qualys (Qualys TRU), опубликованного в издании The Hacker News, злоумышленники активно эксплуатируют давно выявленные уязвимости (CVE) и неправильные конфигурации облачных ресурсов, захватывая новые узлы для увеличения мощности ботнетов.
Особое беспокойство вызывает тот факт, что среди целей нападений чаще всего оказываются именно PHP-серверы, использующие популярнейшие системы управления содержимым вроде WordPress и Craft CMS. Широкая распространенность таких решений делает инфраструктуру уязвимой, особенно учитывая проблемы с некорректными настройками, старыми версиями расширений и опасное хранение служебных файлов.
Среди опасных слабых мест были выявлены следующие уязвимости популярных PHP-фреймворков:
-CVE-2017-9841: Возможность удаленного исполнения кода в PHPUnit.
-CVE-2021-3129: Эксплуатация удаленного выполнения кода в Laravel.
-CVE-2022-47945: Удаленное выполнение кода в ThinkPHP Framework.
Кроме того, специалисты зафиксировали случаи попыток проникновения через включение сессии отладчика Xdebug путем передачи специального параметра ("/?XDEBUG_SESSION_START=phpstorm") в HTTP-запросы GET. Если этот инструмент остается включенным в рабочем окружении, злоумышленники могут легко проникнуть внутрь инфраструктуры и украсть чувствительные данные.
Также исследователи заметили активность по поиску учетных записей, ключей API и приватных токенов на общедоступных серверах, позволяя нарушителям получать полный контроль над системой. Параллельно ведется эксплуатация хорошо изученных багов в устройствах Интернета вещей, включая следующие критически важные уязвимости:
-CVE-2022-22947: Возможности удаленного выполнения кода в Spring Cloud Gateway.
-CVE-2024-3721: Внедрение команд в цифровые видеорегистраторы TBK DVR-4104/DVR-4216.
-Неправильно настроенная система видеонаблюдения MVPower TV-7104HE, допускающая исполнение случайных команд без аутентификации через обычный HTTP-запрос.
По наблюдениям Qualys, значительная доля атак исходит из крупных облачных платформ — AWS, Google Cloud, Microsoft Azure, DigitalOcean и Akamai Cloud. Этот тренд демонстрирует стремление преступников использовать легальные сервисы для сокрытия своей настоящей локализации и облегчения хакерской деятельности.
Эксперты подчеркнули, что современные преступники зачастую действуют достаточно примитивно, полагаясь на доступные наборы инструментов и готовые решения для быстрого достижения результата.
Рекомендации по защите:
-Регулярно обновляйте программное обеспечение и исправления уязвимостей.
-Отключайте средства разработки и отладки в продакшен-среде.
-Используйте надежные хранилища секретов, такие как AWS Secrets Manager или HashiCorp Vault.
-Ограничивайте открытый доступ к облачным ресурсам.
Комментируя ситуацию, Джеймс Мод, технический директор BeyondTrust, подчеркнул важность изменений роли ботнетов в современных условиях. Теперь они служат не только инструментом для массовых DDoS-атак и криптоджекинга, но и мощным средством компрометации больших объемов данных пользователей.
Рост популярности ботнетов продемонстрирован недавним исследованием фирмы NETSCOUT, которое выделило новое семейство ботнетов TurboMirai, способное инициировать рекордные по мощи DDoS-атаки объемом свыше 20 Тб/с. Основными источниками трафика являются обычные бытовые роутеры, камеры видеонаблюдения и прочие устройства конечного пользователя.
Более того, эти ботнеты предлагают специальные модули для многократного повышения эффективности атак, включая поддержку веб-скрапинга, отправки спама и проведение фишинговых кампаний. Подобные ботнеты превращают захваченные устройства в анонимные прокси-сервисы, используемые клиентами для маскировки реального происхождения атакующих запросов.
Итоговая рекомендация:
Чтобы защититься от подобных рисков, важно своевременно применять обновления программного обеспечения, закрывать ненужные порты и избегать использования простых паролей и дефолтных конфигураций.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Новая приставка Xbox предложит уникальные возможности и полную интеграцию с Windows
Новая приставка Xbox предложит уникальные возможности и полную интеграцию с Windows
Microsoft продолжает укреплять своё присутствие на рынке игровых консолей, несмотря на ряд неудачных проектов последних лет, вызвавших сомнения относительно будущего бренда Xbox. Уже давно ходят слухи о том, что новая версия приставки объединяет функциональность Xbox и операционной системы Windows, и теперь появляются свежие подтверждения этому направлению развития.
Взрыв смартфона Samsung Galaxy S25+: необычный случай в Южной Корее
Взрыв смартфона Samsung Galaxy S25+: необычный случай в Южной Корее
Взрывы мобильных устройств вследствие неисправностей аккумулятора хотя и не являются рядовым событием, чаще всего наблюдаются среди бюджетных моделей и в регионах с высокими температурами окружающей среды. Однако иногда встречаются и редкие случаи, поражающие своей неожиданностью.
Появилась новая угроза ClickOnce поразила диппредставительства Южной Азии
Появилась новая угроза ClickOnce поразила диппредставительства Южной Азии
Недавно группа киберпреступников, известная как SideWinder, развернула сложную кампанию против европейских посольств и ряда учреждений в странах Южной Азии, используя инновационную технику распространения угроз посредством файлов формата PDF и технологии ClickOnce. Это событие произошло осенью 2025 года.