یک حمله چند مرحله ای جدید با سوء استفاده از سرورهای Elasticsearch  و با استفاده از آسیب پذیری‌های بدون وصله قدیمی، یک جست و جوی دستکاری شده انجام می‌دهد و دستورات جاوا را رمزگذاری می‌کند. هدف از این حمله ارائه BillGates / Setag Backdoor در برابر سرورهای آسیب پذیر Elasticsearch است.

این حمله در حال حاضر وصله آسیب پذیر در  Groovy scripting engine  را هدف قرار می‌دهد (نسخه های ۱.۳.۰ – ۱.۳.۷ و ۱.۴.۰ – ۱.۴.۲) و این آسیب پذیری را می‌توان با شناسه CVE-2015-1427 ردیابی کرد. و آن به مهاجمان این امکان را می دهد تا sandbox را دور بزنند و دستورات دلخواه خود را از طریق یک اسکریپت دستکاری شده اجرا کنند.

محققان امنیتی TrendMicro این حمله را شناسایی کردند ، “مهاجمان پشت این حمله از رمزگذاری URL  در مرحله‌ای که اسکریپت‌ها بازیابی می‌شوند،استفاده می‌کنند، و وب سایت های قانونی را به خطر می‌اندازند و این می‌تواند به این خاطر باشد که آن‌ها ابزارهای هک را تست می‌کنند یا زیرساخت حملات خود را قبل از حمله واقعی آماده می‌کنند. ”

زنجیره آسیب‌پذیری – سرورهای Elasticsearch

این حمله با جستجوی پایگاه داده ها و سرورهای Elasticsearch عمومی شروع می‌شود و شامل دو مرحله است. پس از یافتن یک سرور در دسترس عموم، با یک پرس و جو دست‌کاری شده توسط مهاجم و دستورات جاوا رمزگذاری شده ، یک شل(shell) را فراخوانی می‌کند.”

اگر سرور آسیب پذیر باشد ، پرس و جو با موفقیت اجرا می‌شود و در مرحله اول یک اسکریپت دانلود می‌کند که سعی می‌کند فایروال را متوقف کند، و در مرحله دوم، دستور curl یا wget  را دانلود و استفاده می‌کند.

در مرحله دوم، یک اسکریپت مشابه مرحله اول، سعی در متوقف کردن فایروال و همچنین فایل‌های اسکریپت خاصی دارد که مربوط به ماینرهای cryptocurrency، پرونده های مختلف پیکربندی و سایر فرآیندهای ناخواسته برای اجرای عملیات است.

همچنین ، مراحل اولیه آسیب را حذف می‌کند، و همچنین پیلودها را از وب سایت‌های دستکاری شده پاکسازی می‌کند تا از شناسایی آن جلوگیری شود.

نگاه دقیق تر به باینری ها ، پشت پرده سرقت اطلاعات سیستم و حملات DDoS را نشان می‌دهد. نمونه هایی از آن‌ها، بدافزارهای BillGates هستند. ”

این بدافزار برای اولین بار در سال ۲۰۱۴ مشاهده شد و از آن برای انجام حملات DDoS استفاده می‌شود ، این ابزار شامل ICMP flood,، TCP flood، UDP flood، SYN flood, HTTP Flood (Layer7) DNS query-of-reflection flood. می‌شود.

براساس گزارش TrendMicro ، “این بدافزار همچنین ابزارهای آسیب دیده سیستم (که  اجازه مشاهده اطلاعات سیستم یا دستگاه را فعال می سازد)، را با یک کپی از خود جایگزین می‌کند و آنها را به آدرس           / usr / bin / dpkgd منتقل می‌کند.