研究人员发现Parrot TDS网络中控制数千个站点的恶意软件

根据一项新的研究，今年早些时候曝光的鹦鹉交通方向系统（TDS）产生了比之前想象的更大的影响。

Sucuri自2019年2月以来一直以“NDSW/NDSX”的名义跟踪同一活动，他表示，“该恶意软件是2021检测到的最常见感染之一”，占61000多个网站。

捷克网络安全公司Avast于2022年4月记录了Parrot TDS，指出PHP脚本诱捕了托管16500多个网站的web服务器，作为进一步攻击活动的网关。

这涉及到在托管内容管理系统（CMS）的受损web服务器（如WordPress）上的所有JavaScript文件中附加一段恶意代码，而这些内容管理系统又被称为利用弱登录凭据和易受攻击的插件而被破坏。

Sucuri的研究人员DenisSinegubko说，除了使用不同的混淆策略来隐藏代码外，“注入的JavaScript也可能被发现有很好的缩进，这样对于一个不经意的观察者来说，它看起来就不那么可疑了。”

JavaScript代码的目标是启动攻击的第二阶段，即执行已部署在服务器上的PHP脚本，该脚本旨在收集有关站点访问者的信息（如IP地址、引用者、浏览器等），并将详细信息传输到远程服务器。

攻击的第三层以来自服务器的JavaScript代码的形式出现，该服务器充当交通方向系统，根据上一步中共享的信息确定要为特定用户交付的确切有效负载。

Sinegubko说：“一旦TDS验证了特定网站访问者的资格，NDSX脚本就会从第三方网站加载最终有效负载。”最常用的第三阶段恶意软件是名为FakeUpdates（又名Sockholish）的JavaScript下载程序。

仅在2021，Sucuri表示，它就从感染网站上发现的近2000万个JavaScript文件中删除了Parrot TDS。在2022年的前五个月，观察到超过2900个PHP和164万个JavaScript文件包含恶意软件。

Sinegubko解释说：“NDSW恶意软件活动非常成功，因为它使用了一个多功能的攻击工具包，不断添加新的公开漏洞和0天漏洞。”

“一旦坏人获得了对环境的未经授权的访问权，他们会添加各种后门和CMS管理员用户，以在原始漏洞关闭后很长时间内保持对受损网站的访问。”