Не менее 4000 уникальных веб-бэкдоров, ранее развернутых различными угрозами, были взломаны путем получения контроля над заброшенной и просроченной инфраструктурой всего за 20 долларов за домен.
Описание
Компания WatchTowr Labs, специализирующаяся на кибербезопасности, заявила, что ей удалось провести эту операцию, зарегистрировав более 40 доменных имен, которые бэкдоры должны были использовать для управления и контроля (C2). В сотрудничестве с фондом Shadowserver Foundation домены, задействованные в исследовании, были взломаны.
«Мы взламывали бэкдоры (которые зависели от ныне заброшенной инфраструктуры и/или доменов с истекшим сроком действия), которые сами существовали внутри бэкдоров, и с тех пор наблюдали за результатами», - заявили генеральный директор WatchTowr Labs Бенджамин Харрис и исследователь Ализ Хаммонд в техническом отчете, опубликованном на прошлой неделе.
«Этот захват позволил нам отслеживать скомпрометированные узлы по мере их «поступления» и теоретически дал нам возможность командовать и контролировать эти скомпрометированные узлы».
Среди скомпрометированных целей, выявленных с помощью маячков, были правительственные учреждения из Бангладеш, Китая и Нигерии, а также академические институты из Китая, Южной Кореи и Таиланда и другие.
Бэкдоры, которые представляют собой не что иное, как веб-оболочки, предназначенные для предоставления постоянного удаленного доступа к целевым сетям для последующей эксплуатации, различаются по масштабу и функциональности.
- Простые веб-оболочки, способные выполнить предоставленную злоумышленником команду с помощью PHP-кода
- c99shell
- r57shell
- China Chopper, веб-оболочка, широко используемая группами постоянных угроз (APT) из Китая.
И c99shell, и r57shell являются полнофункциональными веб-оболочками с функциями выполнения произвольного кода или команд, выполнения файловых операций, развертывания дополнительной полезной нагрузки, брутфорса FTP-серверов и удаления себя со скомпрометированных хостов.
WatchTowr Labs заявила, что наблюдала случаи, когда сопровождающие скрипты некоторых веб-оболочек делали бэкдоры, раскрывая информацию о местах их развертывания, тем самым непреднамеренно передавая бразды правления в руки других субъектов угроз.
Это событие произошло через несколько месяцев после того, как компания обнаружила, что потратила всего 20 долларов на приобретение устаревшего домена WHOIS-сервера («whois.dotmobiregistry[.]net»), связанного с доменом верхнего уровня (TLD) .mobi, и выявила более 135 000 уникальных систем, которые все еще связывались с этим сервером даже после его миграции на «whois.nic[.]mobi».
Indicators of Compromise
Domains
- whois.dotmobiregistry.net