Uočena je sofisticirana kampanja cyber napada usmjerena na južnokorejske web servere, pri čemu počinioci koriste malver MeshAgent i SuperShell za kompromitovanje kako Windows, tako i Linux infrastruktura. Ovakav napad koji pogađa više platformi ukazuje na rastuću kompleksnost metoda, jer napadači iskorištavaju ranjivosti u uploadu datoteka radi uspostavljanja trajne prisutnosti u različitim serverskim okruženjima. Ova kampanja predstavlja značajan napredak u taktikama eksploatacije web servera, gdje napadači prvo dobijaju pristup putem ranjivih mehanizama za upload datoteka, a zatim raspoređuju niz alata za prikupljanje informacija i održavanje prisutnosti.
Analiza ukazuje da počinioci operišu kako na Windows IIS serverima, tako i na Linux sistemima, što potvrđuje da se radi o dobro organizovanoj operaciji s mogućnostima djelovanja na više platformi i arhitektura operativnih sistema. U otkrivenim zlonamjernim distribucijskim tačkama pronađen je malver zasnovan na ELF formatu, kao i tradicionalni izvršni Windows programi, što potvrđuje namjeru napadača da kompromituju heterogena serverska okruženja. Otkriveno spremište malvera sadrži WogRAT, backdoor koji dijeli infrastrukturu sa prethodnim napadačkim kampanjama, sugerišući kontinuitet operacija iste grupe napadača kroz više vektora napada.
Analitičari ASEC-a identifikovali su više web shellova implementiranih na kompromitovanim sistemima, uključujući popularne varijante kao što su Chopper, Godzilla i ReGe-ORG. Istraživači su primijetili da ovi alati, u kombinaciji sa alatima za prikupljanje informacija na kineskom jeziku poput Fscan i Ladon, snažno ukazuju na napadače koji govore kineski jezik, a koji orkestriraju kampanju kroz koordinirano upravljanje infrastrukturom.
Mehanizam infekcije i ciljanje više platformi
Metodologija napada slijedi sistematičan pristup koji započinje implementacijom web shella kroz ranjivosti u uploadu datoteka u konfiguracijama web servera. Nakon uspostavljanja, napadači izvršavaju sveobuhvatne komande za prikupljanje informacija radi mapiranja ciljanog okruženja i identifikacije potencijalnih mogućnosti za bočno kretanje. Komande koje se koriste uključuju: ipconfig, whoami /all, systeminfo, netstat -ano, te fscan.exe -hf i.txt -nocolor -silent -o rr8.txt.
Nakon početnog prikupljanja informacija, napadači raspoređuju SuperShell, reverse shell napisan u Go jeziku, koji podržava platforme Windows, Linux i Android. Ova sposobnost rada na više platformi omogućava jedinstvenu kontrolu nad različitim komponentama infrastrukture, zadržavajući pritom operativnu fleksibilnost. Malver uspostavlja trajnu prisutnost putem MeshAgenta, koji pruža sveobuhvatne funkcije daljinskog upravljanja, uključujući prijenos datoteka, izvršavanje komandi i daljinski pristup radnoj površini putem weba.
Eskalacija privilegija se vrši izvršavanjem PowerLadon, specifično iskorištavajući tehniku SweetPotato za manipulaciju tokenima, što se može vidjeti u komandi: powershell -exec bypass Import-Module .\Ladon.ps1;Ladon SweetPotato whoami. Nakon toga, napadači vrše bočno kretanje koristeći ukradene akreditive i WMIExec, ciljajući dodatne sisteme, uključujući MS-SQL servere unutar kompromitovanog mrežnog perimetra. Ovakav metodičan pristup pokazuje karakteristike napredne trajne prijetnje (APT), pri čemu konačni cilj ostaje neutvrđen, ali potencijalno uključuje izvoz osjetljivih podataka ili implementaciju ransomwarea širom organizacijske infrastrukture.
