Злоумышленники используют критическую уязвимость в cPanel для атак на правительственные и военные организации Юго-Восточной Азии

Природа этой ошибки довольно необычна. Когда пользователь пытается войти в WHM, система создаёт временную сессию даже в случае неудачной аутентификации. Злоумышленник может вмешаться в процесс сохранения данных этой сессии. Он подставляет поддельные значения, например, указывая, что пользователем является root, а двухфакторная аутентификация уже пройдена. После перезагрузки сессии WHM воспринимает её как уже авторизованную. Таким образом, атакующий не входит в систему обычным способом, а подделывает состояние, на которое опирается WHM при проверке прав доступа. После получения контроля злоумышленник может загрузить веб-шелл и выполнить произвольные команды на сервере.

Команда Ctrl-Alt-Intel, занимающаяся отслеживанием угроз, сумела получить доступ к серверу управления одного из таких нападавших. Исследователи обнаружили IP-адрес 95.111.250[.]175, с которого велась активная эксплуатация уязвимости. Злоумышленники использовали общедоступный код проверки концепции, опубликованный watchTowr, и целенаправленно атаковали государственные и военные организации в нескольких странах. В список целей попали береговая охрана и военно-воздушные силы Филиппин, министерство обороны Лаоса, а также ряд провайдеров управляемых услуг и хостинг-провайдеров в Канаде, Южной Африке, США и других странах.

Однако работа со свежей уязвимостью была лишь частью более широкой кампании. На том же сервере управления исследователи нашли следы другой атаки, направленной на портал индонезийского оборонного сектора. Для неё злоумышленники создали собственную цепочку эксплойтов, не полагаясь на публичные инструменты. Они использовали уже имеющиеся учётные данные для входа в систему, а затем обходили капчу, считывая ожидаемое значение из сессионной cookie. После этого атакующий внедрял вредоносный SQL-запрос в поле для имени документа. Эта инъекция расширялась до удалённого выполнения команд на сервере базы данных благодаря возможностям PostgreSQL. Команды выводились во временные файлы, кодировались в base64 и снова загружались в приложение.

На сервере также были обнаружены файлы, подтверждающие кражу данных из китайского железнодорожного сектора. Жертвой стал Комитет электрификации при Китайском обществе железных дорог. Хотя эта организация не является прямым государственным органом, она тесно связана с партийными и государственными структурами в области науки и железнодорожной инфраструктуры. Всего было похищено 110 файлов общим объёмом около 4,37 гигабайт. Среди них - презентации, документы, электронные таблицы, охватывающие период с 2020 по 2024 год. Особую ценность представляют две платёжные ведомости за 2021 год, содержащие полные имена, суммы выплат, номера национальных удостоверений личности, банковские счета и номера телефонов.

Для доступа к внутренним сетям злоумышленники развернули многоуровневую инфраструктуру. Они установили OpenVPN-сервер на своём командном сервере, а затем использовали инструмент Ligolo для создания туннелей между виртуальными интерфейсами. Один из обнаруженных скриптов создавал скрытый каталог и регистрировал поддельную службу systemd, которая обеспечивала постоянное подключение к серверу управления. Такой подход позволял атакующим оставаться внутри сети жертвы даже после перезагрузок и длительное время незаметно извлекать данные.

Исследователи не берутся однозначно приписывать эту кампанию какой-либо конкретной группировке или государству. В скриптах и инструментах были найдены комментарии на вьетнамском языке, однако это может быть намеренной дезинформацией. Тем не менее сочетание целей, сложность инфраструктуры и характер похищенных данных указывают на систематическую работу, выходящую за рамки обычной оппортунистической атаки.

Этот инцидент наглядно демонстрирует, насколько быстро может развиваться эксплуатация уязвимости после публикации её описания. Злоумышленники способны за считанные дни адаптировать готовые инструменты для атак на критически важные организации. В то же время они параллельно разрабатывают собственные методы проникновения в оборонный сектор и проводят длительные операции по сбору разведданных. Для специалистов по безопасности это напоминание о том, что защита от подобных угроз требует не только своевременного обновления программного обеспечения, но и постоянного мониторинга сетевой активности, сегментирования сетей и строгого контроля доступа к конфиденциальной информации.

IPv4

• 95.111.250.175

Domains

• delicate-dew.serveftp.com

SHA256

• 1cfeadf01d24182362887b7c5f683e8bdb0e84cddce03e3b7564b2d9ab5d15cf
• 64674342041873dbb18b1dd9bb1ca391af85b5e755deffb4c1612ef668349325
• 734f0d04dc2683e19e629b8ec7f55349b5bcff4eb4f2f36f6adbbde1c023a24f
• 974e272ad1dc7d5aadc3c7a48ec00eb201d04ba59ec5b0b17c2f8e9cd2f9c9cd