Sofisticirana kampanja kibernetičkih napada usmjerena je na južnokorejske web servere, pri čemu napadači implementiraju zlonamjerni softver MeshAgent i SuperShell kako bi ugrozili Windows i Linux infrastrukturu. Ovaj višestruki napad ukazuje na povećanu kompleksnost u strategijama napada, budući da napadači koriste ranjivosti u uploadu datoteka radi uspostavljanja dugotrajnog prisustva u različitim serverskim okruženjima.
Navedena kampanja predstavlja značajan korak naprijed u taktici iskorištavanja web servera, gdje napadači prvo stiču pristup putem ranjivih mehanizama za upload datoteka, a zatim implementiraju arsenal alata za izviđanje i održavanje prisutnosti. Dokazi ukazuju na to da napadači djeluju na serverima Windows IIS, kao i na Linux sistemima, što sugerira dobro organizirane operacije sa mogućnostima rada na više platformi i različitim arhitekturama operativnih sistema.
Istraživanja su otkrila prisustvo zlonamjernog softvera temeljenog na ELF formatu, uz uobičajene izvršne datoteke za Windows, na mjestima distribucije zlonamjernih sadržaja, čime se potvrđuje namjera napadača da ugroze heterogena serverska okruženja. U otkrivenom spremištu zlonamjernog softvera nalazi se WogRAT, backdoor koji dijeli infrastrukturu s prethodnim napadačkim kampanjama, što upućuje na kontinuitet operacija iste grupe napadača putem više vektora napada. Analitičari ASEC-a identificirali su brojne web shell-ove implementirane na kompromitovanim sistemima, uključujući popularne varijante poput Chopper, Godzilla i ReGe-ORG. Istraživači su primijetili da ovi alati, zajedno sa kineskim uslužnim programima za izviđanje poput Fscan i Ladon, snažno ukazuju na napadače koji govore kineski jezik, a koji orkestriraju kampanju putem koordiniranog upravljanja infrastrukturom.
Metodologija napada prati sistematičan pristup koji počinje implementacijom web shell-a putem ranjivosti u uploadu datoteka u konfiguracijama web servera. Nakon uspostavljanja, napadači pokreću sveobuhvatne komande za izviđanje kako bi mapirali ciljno okruženje i identificirali potencijalne mogućnosti za bočno kretanje. Nakon početnog izviđanja, napadači implementiraju SuperShell, reverse shell napisan u Go programskom jeziku, koji podržava platforme Windows, Linux i Android. Ova sposobnost rada na više platformi omogućava jedinstvenu komandu i kontrolu nad različitim komponentama infrastrukture, zadržavajući operativnu fleksibilnost. Zlonamjerni softver uspostavlja dugoročno prisustvo putem MeshAgenta, koji pruža sveobuhvatne funkcije daljinskog upravljanja, uključujući prijenos datoteka, izvršavanje komandi i pristup udaljenoj radnoj površini putem web-a. Povećanje privilegija vrši se putem izvršavanja PowerLadona, specifično koristeći SweetPotato tehniku za manipulaciju tokenima. Napadači potom vrše bočno kretanje koristeći ukradene vjerodajnice i WMIExec, ciljajući dodatne sisteme, uključujući MS-SQL servere unutar kompromitovanog mrežnog perimetra. Ovaj metodičan pristup pokazuje napredne karakteristike perzistentnog prijetnje, sa krajnjim ciljem koji ostaje neutvrđen, ali potencijalno uključuje izvoz osjetljivih podataka ili implementaciju ransomwarea preko organizacijske infrastrukture.