Pojavila se sofisticirana kampanja cyber napada usmjerena na južnokorejske web servere, pri čemu ciljaju akteri napada koristeći MeshAgent i SuperShell malver za kompromitovanje kako Windows tako i Linux infrastrukture.
Ovaj multi-platformski napad pokazuje eskalaciju u kompleksnosti napada, budući da zlonamjerni akteri iskorištavaju ranjivosti u uploadu datoteka kako bi uspostavili trajna uporišta u raznolikim serverskim okruženjima.
Kampanja predstavlja značajan evolucijski korak u taktikama iskorištavanja web servera, gdje napadači inicijalno stječu pristup putem ranjivih mehanizama za upload datoteka, a zatim implementiraju arsenal alata za izviđanje i postizanje perzistencije.
Dokazi ukazuju na to da ciljajući akteri održavaju operacije kako na Windows IIS serverima tako i na Linux sistemima, što svjedoči o dobro organiziranoj operaciji sa multi-platformskim sposobnostima koje obuhvataju arhitekture više operativnih sistema.
Istraživanje je otkrilo prisustvo malvera baziranog na ELF-u, uz tradicionalne Windows izvršne datoteke na lokacijama zlonamjerne distribucije, potvrđujući namjeru napadača da kompromituju heterogena serverska okruženja.
Otkriveno spremište malvera sadrži WogRAT, backdoor koji dijeli infrastrukturu s prethodnim napadačkim kampanjama, što sugerira operativni kontinuitet iste grupe napadača kroz više vektora napada.
Analitičari ASEC-a identificirali su brojne web shell-ove implementirane na kompromitovanim sistemima, uključujući popularne varijante kao što su Chopper, Godzilla i ReGe-ORG.
Istraživači su primijetili da ovi alati, u kombinaciji s kineskim pomoćnim alatima za izviđanje poput Fscan i Ladon, snažno upućuju na kineske grupe napadača koje koordiniraju kampanju kroz upravljanje usklađenom infrastrukturom.
Mehanizam infekcije i multi-platformsko ciljanje počinju implementacijom web shell-ova putem ranjivosti u uploadu datoteka u konfiguracijama web servera.
Nakon uspostavljanja početnog pristupa, napadači izvršavaju sveobuhvatne komande za izviđanje kako bi mapirali ciljano okruženje i identifikovali potencijalne mogućnosti za bočno kretanje, uključujući komande kao što su ipconfig, whoami /all, systeminfo, netstat -ano i fscan.exe.
Nakon inicijalnog izviđanja, ciljajući akteri implementiraju SuperShell, reverse shell napisan na Go programskom jeziku koji podržava Windows, Linux i Android platforme.
Ova multi-platformska sposobnost omogućava jedinstveno upravljanje i kontrolu preko različitih infrastrukturnih komponenti, istovremeno održavajući operativnu fleksibilnost.
Malver uspostavlja perzistenciju putem MeshAgenta, koji pruža sveobuhvatne funkcije daljinskog upravljanja, uključujući prijenos datoteka, izvršavanje komandi i daljinski pristup desktopu putem web interfejsa.
Eskalacija privilegija se vrši izvršavanjem PowerLadona, preciznije iskorištavanjem SweetPotato tehnike za manipulaciju tokenima, kao što je prikazano u komandi: powershell -exec bypass Import-Module .\Ladon.ps1;Ladon SweetPotato whoami.
Nakon toga, napadači vrše bočno kretanje koristeći ukradene akreditive i WMIExec, ciljajući dodatne sisteme, uključujući MS-SQL servere, unutar kompromitovanog mrežnog perimetra.
Ovaj metodički pristup demonstrira napredne karakteristike perzistentnih prijetnji, s krajnjim ciljem koji ostaje neutvrđen, ali potencijalno uključuje izvoz osjetljivih podataka ili implementaciju ransomware-a širom organizacijske infrastrukture.