В конце 2023 года российская телекоммуникационная компания Solar 4RAYS выявила атаку со стороны азиатской APT-группы, которую они назвали Obstinate Mogwai (Упрямый демон). Атака была осуществлена с использованием давно известной уязвимости, связанной с десериализацией недоверенных данных в параметре VIEWSTATE на платформе ASP.NET. Команда Solar 4RAYS провела детальное исследование этой уязвимости, чтобы обнаружить подобные атаки и разработать меры по их предотвращению.
В ходе атаки Obstinate Mogwai использовала команды PowerShell для копирования инструментов злоумышленников на сервер Exchange и извлечения данных из почтовых ящиков. Solar 4RAYS обнаружили несколько POST-запросов к легитимному aspx-файлу на сервере Exchange с характерным UserAgent. После тщательного анализа индикаторов и логов Windows, было обнаружено событие с идентификатором 1316, которое содержало сериализованный VIEWSTATE в base64-кодировке, приводящий к исключению при десериализации.
Таким образом, Obstinate Mogwai использовала уязвимость десериализации VIEWSTATE для взлома сети телекоммуникационной компании Solar 4RAYS.
Indicators of Compromise
IPv4
- 193.47.34.229
- 45.12.67.18
- 77.223.109.162
- 77.223.109.163
- 77.223.109.164
- 77.223.109.165
MD5
- 41a15b8d3d8c840be37690f8353e8934
- 6c63601e9c115c0e7ff3220e023b33bb
- 817c8c15040261490b75d5476f8ba5d6
SHA1
- 348dbaa262410684153228a904c60e0d9cc17014
- 41b543f397e77461dee196b830c30024dc20605d
- b4d3db052fa682abd38218620c27351766275911
SHA256
- 06240b9dfb75b8a430c7c34cbb13cd066acf7f0e1d889891f576d7f4bc999c15
- 4608df9207e6612bcc548d0db39a2d03ed74c9c0f30c696a3a6ef2cc792c250a
- 503275fbf9bcd6575a6f8a014c903727eb28f2d77f067082fcf4f60c2ca630f5
