Студент из Бангладеш продает доступ к взломанным сайтам через скрытный PHP-бэкдор

Исследование началось с неожиданной находки. Молодой человек, обучающийся на курсах по информационной безопасности и мечтающий стать специалистом по красным командам (red teamer), признался, что продает доступ к взломанным сайтам для оплаты своего образования. Его история открывает уникальное окно в мир crowdsourced киберпреступности. В рамках этой кампании студент выступает поставщиком, продавая скомпрометированные сайты на базе WordPress и cPanel. Транзакции часто проводятся через мессенджер Telegram с оплатой в криптовалюте.

Ключевым инструментом в его арсенале оказался PHP-веб-шелл под названием Beima. Этот вредоносный инструмент обеспечивает полное удаленное выполнение кода на зараженном сервере, что позволяет извлекать чувствительные данные и включать машины в ботнет. Примечательно, что данный веб-шелл остается полностью необнаруживаемым современными средствами защиты, включая VirusTotal, с мая 2024 года. Анализ показал, что Beima использовался на 80 из 5200 веб-сайтов, которые в настоящее время предлагаются к продаже на подпольном рынке.

Основными целями кампании стали государственный и образовательный секторы. На их долю приходится 76% всех скомпрометированных ресурсов, выставленных на продажу. Цена доступа к сайтам правительственных или учебных учреждений достигает 200 долларов США, в то время как за другие сайты просят всего 3-4 доллара. Для студента из Бангладеш, где медианная зарплата составляет около 220 долларов, эта деятельность оказывается чрезвычайно прибыльной. При этом риски выходят далеко за рамки кражи учетных данных. Если злоумышленник получает доступ к учетной записи на сервере корневого домена, под угрозой могут оказаться все связанные поддомены.

Технический анализ веб-шелла Beima выявил высокий уровень изощренности. Инструмент обрабатывает зашифрованные HTTP-запросы, расшифровывая их с помощью жестко прописанного RSA-приватного ключа. Выполняемые действия управляются через параметры и поддерживают множество операций: от загрузки файлов до модификации индексных страниц. Для связи с панелью управления злоумышленника (C2, command-and-control) используются ответы в формате JSON. Функция doBeima, являющаяся основной для обеспечения устойчивости, размещает вредоносные файлы в случайных директориях, что затрудняет их обнаружение.

Расследование также позволило идентифицировать живую инфраструктуру командования и управления, расположенную на домене tool[.]zjtool[.]top. Панель управления, написанная на китайском языке, наглядно демонстрирует, как скомпрометированные сайты взаимодействуют с центром управления и как JSON-структуры используются для отправки команд ботам. Использование шифрования, управление через JSON и наличие активной C2-панели указывают на уровень организации, выходящий за рамки типичной хакерской деятельности фрилансеров.

Географический охват кампании является глобальным, однако основная активность сосредоточена в Азии. Региональная разбивка показывает, что 72% скомпрометированных сайтов находятся в азиатском регионе, с явным фокусом на Индию и Индонезию. При этом основными покупателями, согласно данным расследования, выступают угрозовые акторы из Китая, Индонезии и Малайзии. Платформой для координации и обмена неизменно служит Telegram, где созданы многочисленные каналы для демонстрации доказательств взлома и совершения сделок.

Эксперты Howler Cell подчеркивают, что этот случай отражает формирование устойчивого подпольного рынка, эксплуатирующего уязвимости и ошибки в конфигурации. Низкая стоимость взлома стандартных сайтов создает очень низкий барьер для входа в киберпреступную деятельность. Молодые фрилансеры, часто студенты, могут быстро начать зарабатывать, поставляя ресурсы для более масштабных и скоординированных операций. В результате возникает децентрализованная, финансово мотивированная экосистема, которая питает глобальную киберпреступность.

Для защиты от подобных угроз специалисты рекомендуют немедленные действия при подозрении на компрометацию. Необходимо отключить пораженный сайт, отозвать все сессии и сбросить пароли. Также критически важно изолировать хост от сети, обновить все учетные данные, включая API-ключи, и перестроить веб-приложение из проверенных источников. Для поиска следов веб-шелла Beima следует проверить корневую директорию веб-сервера на наличие строк "doBeima", "doLock" или "iden". Дополнительно нужно анализировать логи доступа на предмет необычных POST-запросов с большими блоками данных в кодировке base64 или соединений с C2-доменом.

В заключение, расследование кампании Beima PHP Webshell демонстрирует эволюцию подпольной экономики фриланс-хакеров. Использование сложных необнаруживаемых инструментов, криптографических методов и глобальных платформ для анонимных сделок создает серьезные вызовы для безопасности. Эта история наглядно показывает, как индивидуальные действия отдельных лиц могут питать масштабные угрозы, подчеркивая необходимость повышенного внимания к безопасности веб-инфраструктуры и активного мониторинга подобных децентрализованных рынков.

URLs

• https://tool.zjtool.top/

SHA256

• 1ee54a730b83296f5b24da22cac7644754b1b83365e5af7fb80fb9696ba063d7
• 898d2da350a1bfa7e6628092db68b768c1cfbfe3bd9dc643943789fdafe2d658
• c51e009f6d8a9283ce6ddf454b474b863b0f6bf66584092a7fb5940764e54222