Угроза национальному цифровому пространству: хакеры атакуют серверы Южной Кореи через MeshAgent и SuperShell

Особую тревогу вызывает обнаружение бэкдора WogRAT на серверах распространения вредоносного кода. Этот инструмент, созданный на базе открытого проекта Tiny SHell, демонстрирует сходство с ранее документированным Rekoobe. Критически важным доказательством стала идентичность C&C-серверов (центров управления атаками) с инцидентами 2023 года, где WogRAT распространялся через скомпрометированный сервис aNotepad. Данное совпадение свидетельствует о работе одной и той же хакерской группировки, адаптирующей тактику под новые цели. Параллельно аналитики отмечают использование публично доступных инструментов - Ladon для эскалации привилегий, Fscan для сетевого сканирования, что осложняет атрибуцию. Однако исторический контекст однозначно связывает этот арсенал с китайскоязычными APT-группами, специализирующимися на промышленном шпионаже.

Механика атаки раскрывает многоуровневую стратегию. На этапе первоначального проникновения хакеры загружали веб-шеллы (Chopper, Godzilla, ReGe-ORG) в уязвимые каталоги типа D:\WEB\*\\Data\Editor\File\, эксплуатируя недостатки валидации загружаемых файлов. Для обеспечения устойчивости доступа использовались ASP/ASPX-скрипты, интегрированные в процессы IIS. Далее следовала фаза разведки: команды ipconfig, whoami, netstat -ano и systeminfo собирали данные об окружении, а Fscan.exe сканировал сеть на наличие открытых портов (445, 135, 22) с параметрами -nocolor -silent для минимизации обнаружения. Примечательно применение PowerLadon - PowerShell-версии инструмента для повышения привилегий через технику SweetPotato, что позволяло обходить ограничения процесса w3wp.exe.

Кульминацией становилось развёртывание SuperShell и MeshAgent, превращавших серверы в "зомби-терминалы". SuperShell, написанный на Go, обеспечивал кроссплатформенный реверс-шелл с поддержкой Windows, Linux и Android, ранее замеченный в атаках группы UNC5174. MeshAgent же имитировал легитимное ПО для удалённого администрирования, предлагая функционал RDP/VNC, управление файлами и выполнение команд. Одновременно хакеры внедряли прокси-туннели для маскировки трафика, а инструмент Network Password Dump извлекал учётные данные для горизонтального перемещения. Последнее подтверждается логами использования WMIExec с NT-хешами администраторов и команд Ladon MssqlCmd для атак на MS-SQL серверы.

Эксперты подчёркивают географическую специфику угрозы: 70% инцидентов затрагивают южнокорейские технологические компании и государственные платформы. Связь с китайскими группами прослеживается не только через инструментарий, но и через IP-инфраструктуру - серверы в провинции Гуандун неоднократно фигурировали в C&C-каналах. Рекомендации для организаций включают срочный аудит уязвимостей загрузки файлов, мониторинг аномальной активности w3wp.exe, блокировку исполнения PowerShell в нетиповых сценариях и анализ сетевых соединений на предмет подключений к 139.180.142[.]127. Учитывая полиплатформенный характер атак, критически важен кросс-платформенный мониторинг: сигнатуры YARA для Linux-версий WogRAT и детектирование ELF-бинартов с строкой "WingsOfGod" должны стать частью базовой защиты. Цифровой суверенитет Южной Кореи столкнулся с новой фазой гибридной войны, где кибероружие создаётся из открытых компонентов, но нацелено на стратегические объекты.

IPv4

• 139.180.142.127
• 108.61.247.121
• 66.42.113.183

Domains

• linuxwork.net

URLs

• http://139.180.142.127/Invoke-WMIExec.ps1
• http://45.76.219.39/bb
• http://45.76.219.39/mc.exe
• http://66.42.113.183/acccc
• http://66.42.113.183/kblockd

MD5

• 06ebef1f7cc6fb21f8266f8c9f9ae2d9
• 3f6211234c0889142414f7b579d43c38
• 460953e5f7d1e490207d37f95c4f430a
• 4c8ccdc6f1838489ed2ebeb4978220cb
• 5c835258fc39104f198bca243e730d57