CISA получило образцы вредоносного ПО China Chopper во время работы по реагированию на инциденты на месте в организации сектора оборонной промышленной базы (DIB), скомпрометированной агентами современных постоянных угроз (APT).
CISA проанализировала 15 файлов, связанных с вредоносным ПО China Chopper. Файлы представляют собой модифицированные файлы конфигурации Offline Address Book (OAB) Virtual Directory (VD) для серверов Microsoft Exchange. Файлы были модифицированы с помощью варианта веб-оболочки China Chopper. Веб-оболочки позволяют злоумышленнику получить удаленный доступ к серверу и выполнить произвольный код на системе (системах).
Indicators of Compromise
SHA256
- 07208095feb011ed915a881b689d6b70c352d40e90131df2c2abc92c4b93fbd9
- 1435e7871e32779a81e28aa9b6fa57949439220527ed3b3fb83a1c0699f376e3
- 1e05b263cfea600f727614e58646a2ff6a4c89a4499e2410f23bf40c718a94d3
- 1f5f5b8dd702da3628e8612d44563d8267fa160048a0da389ee821152ac658f2
- 3918f060a7df3ef3488f4158b56cd720e1e4872f1c5a075df5870164260af650
- 411fef05a37e286a4e48700e5155cd55672cce4c9283b448d968391267b4f866
- 53c7c1bf8526bb7a6d0af1fd7c7673a8138db90bb81b786f3987b9d854697f6c
- 58a6151413f281143a9390852b017b82ff40d402cdbc8295aa58ae46c4c8424f
- a58c4fdb1c31100f4e9bb530af7d1ac57c715fee1c7c5e6c790e1e9cc863cfe4
- a8c656d12b10d4fae74efc4cc7e585f5569f1a9144ebf6cd56b1bfed0dd7a440
- b8a06eae7d57a292dfea9000f76c6e3733b3567ef67d75b149dfd1d001ca9fb8
- dc21ee9606505222dbfe26d6bfc2a4dbebecf620d72fc39d298a5de519c3535f
- dfa9f4a054636750012e0ff56286a3c96c37062959c8ac5b2df52e349de69e65
- e2caf75367ca300f616a96ff07769b1f80b69b1ae135fa27b79376a75a905b5e
- e5451de048d7b9d6d8e699da7a10c38079eda4e6328580a8ba259a22eeaaa71d