cPaneldan hukumat va MSP tarmoqlariga hujum qilish uchun foydalanilmoqda
- Hidoyatxon Atabaev
- May 4
- 2 min read
Janubi-sharqiy Osiyodagi hukumat va harbiy obyektlar, shuningdek, Filippin, Laos, Kanada, Janubiy Afrika va AQShdagi boshqariladigan xizmat ko'rsatuvchi provayderlar (MSP) va hosting provayderlarining kichik guruhi cPanelda yaqinda aniqlangan zaiflikdan foydalanayotgan ilgari noma'lum bo'lgan muhaddid (threat actor) nishoniga aylandi.
2026-yil 2-may kuni "Ctrl-Alt-Intel" tomonidan aniqlangan ushbu faollik cPanel va WebHost Manager (WHM) tizimlaridagi jiddiy zaiflik — CVE-2026-41940ni suiiste'mol qilishni o'z ichiga oladi. Ushbu nuqson tasdiqlovni chetlab o'tishga olib kelishi va masofaviy hujumchilarga boshqaruv paneli ustidan yuqori darajadagi nazoratni qo'lga kiritish imkonini berishi mumkin.
Hujum harakatlari "95.111.250[.]175" IP-manzilidan amalga oshirilgan bo'lib, ular asosan ochiq manbalardagi "proof-of-concepts" (PoC) vositalaridan foydalangan holda Filippin (*.mil.ph va .ph) va Laos (.gov.la) hukumat hamda harbiy domenlarini, shuningdek, MSP va hosting provayderlarini nishonga olgan.
Bundan tashqari, Ctrl-Alt-Intel ma'lum qilishicha, muhaddid cPanel hujumlaridan avval Indoneziya mudofaa sektori o'quv portali uchun alohida, maxsus tayyorlangan eksploit zanjiridan foydalangan. Bunda tasdiqdan o'tgan SQL injekshni va masofaviy kod bajarish (RCE) uyg'unligi qo'llanilgan. Mazkur holatda hujumchi ko'zlangan portalga tegishli haqiqiy login va parollarga (credentials) allaqachon ega bo'lgani aytilmoqda.
"Skript qo'lda kodlangan (hard-coded) login-parollardan foydalanadi va portalning CAPTCHA himoyasini, topshiriqni odatdagidek yechish o'rniga, kutilayotgan CAPTCHA qiymatini server tomonidan berilgan sessiya kuki (cookie) faylidan o'qib olish orqali chetlab o'tadi", — deya ta'kidladi Ctrl-Alt-Intel.
"Tasdiqlovdan o'tib va CAPTCHAni yenggach, subyekt hujjatlarni boshqarish funksiyasiga o'tadi. Zaif parametr bu — hujjat nomini saqlash uchun ishlatiladigan maydon bo'lib, skript hujjatni saqlash nuqtasiga (endpoint) ma'lumot yuborishda aynan shu maydon orqali SQL injekshnini amalga oshiradi", — deyiladi xabarda.
O'tkazilgan chuqur tahlillar natijasida aniqlanishicha, muhaddid buzib kirilgan so'nggi nuqtani (endpoint) masofadan boshqarish uchun AdaptixC2 buyruq va nazorat (C2) freymuorkidan foydalanmoqda. Shuningdek, jabrlanuvchining ichki tarmoqlariga doimiy kirish imkonini ta'minlash uchun OpenVPN va Ligolo kabi vositalar ham qo'llanilgan.
"Subyekt OpenVPN, Ligolo va systemd persistentligi (tizimda barqaror qolish) yordamida mustahkam kirish qatlamini yaratgan, so'ngra ushbu kirish imkoniyatidan ichki tarmoqqa o'tish (pivot) hamda Xitoy temir yo'l sektoriga oid hujjatlarning katta qismini chiqarib olish (exfiltrate) uchun foydalangan", — deya qo'shimcha qildi Ctrl-Alt-Intel.
Hozircha ushbu kampaniya ortida kim turgani noma'lum, biroq Censys ma'lumotlariga ko'ra, cPanel zaifligi ommaga e'lon qilinganidan keyin 24 soat ichida bir necha uchinchi tomonlar, jumladan, Mirai botnet variantlari va "Sorry" deb nomlangan to'lov dasturi (ransomware) shtammlarini joylashtirish orqali ushbu nuqsondan qurol sifatida foydalana boshlaganini ko'rsatuvchi dalillar aniqlangan.
Shadowserver Foundation ma'lumotlariga ko'ra, 2026-yil 30-aprelda CVE-2026-41940 orqali buzib kirilgani taxmin qilinayotgan kamida 44,000 ta IP-manzil xizmatning "honeypot"lariga qarshi skanerlash va brute-force hujumlarini amalga oshirgan. 3-may holatiga ko'ra, bu ko'rsatkich 3,540tagacha tushgan.
Comments