Веб-оболочки (Web shells), используемые для удаленного выполнения команд, стали более сложными и разносторонними, включая функции выполнения модулей в памяти и зашифрованной связи команд и управления.
Описание
Несмотря на то, что использование данного инструмента широко известно, он по-прежнему эффективно используется благодаря своей модульной конструкции и адаптивности.
Анализ телеметрии Kaspersky Lab позволил предположить, что злоумышленники использовали веб-оболочку для эксплуатации уязвимого веб-сервера. Веб-оболочка была скрыта под страницу 404 и загружена с использованием утилиты certutil и сервиса Bashupload.
При ручной разведке и обнаружении были выявлены системные привилегии, использованные злоумышленниками. Было обнаружено использование различных вариантов инструментов Potato, в том числе модулей, работающих только с памятью, и отдельных исполняемых файлов. Они были обнаружены на сервере SharePoint.
Indicators of Compromise
MD5
- 578a303d8a858c3265de429db9f17695
- 5ea7f17e75d43474b9dfcd067ff85216
- b5755be4aad8d8fe1bd0e6ac5728067b
- b8a468615e0b0072d2f32e44a7c9a62f
- cd56a5a7835b71df463ec416259e6f8f
- ea19d6845b6fc02566468ff5f838bff1
- ef153e1e216c80be3fdd520dd92526f4
