0
0
A Agência de Segurança cibernética e infraestrutura dos EUA (CISA) divulgou um relatório de análise de malware (MAR) que inclui detalhes técnicos sobre os shells da Web empregados por hackers iranianos.
Um web shell é um código, muitas vezes escrito em linguagens típicas de programação de desenvolvimento web (por exemplo, ASP, PHP, JSP), que os invasores implantam em servidores web para obter acesso remoto e execução de código.
De acordo com o relatório da CISA,hackers iranianos de um grupo APT não nomeado estão empregando vários projéteis web conhecidos, em ataques a organizações de TI, governo, saúde, financeiro e seguros em todo os Estados Unidos. O malware usado pelos atores de ameaças inclui os web shells ChunkyTuna, Tiny e China Chopper.
Os hackers iranianos pertencem a um ator de ameaças com sede no Irã que estava por trás de ataques que exploravam vulnerabilidades no Pulse Secure VPN, Citrix Application Delivery Controller (ADC) e Gateway, e os produtos ADC BIG-IP da F5.
Há algumas semanas, pesquisadores da Crowdstrike revelaram que o grupo APT ligado ao Irã, também conhecido como Fox Kitten ou Parisite, está agora tentando monetizar seus esforços vendendo acesso a algumas das redes que hackeou para outros hackers.
Os hackers iranianos têm atacado VPNs corporativas nos últimos meses, eles têm hackeado servidores VPN para plantar backdoors em empresas em todo o mundo visando Pulse Secure, Fortinet, Palo Alto Networkse Citrix VPNs.
O CISA MAR inclui detalhes técnicos de 19 arquivos maliciosos, incluindo vários componentes do web shell do China Chopper, como um aplicativo ASP que ouve conexões HTTP recebidas de um operador remoto.
Os shells da Web permitem que os invasores entreguem e executem o código JavaScript que poderia ser usado para enumerar diretórios, executar cargas e exfiltrar dados.
Os especialistas da CISA também analisaram um arquivo de dados do programa (PDB) e um binário que são uma versão compilada do FRP do projeto de código aberto. O FRP pode permitir que os invasores túnel vários tipos de conexões para um operador remoto fora do perímetro de rede do alvo. O relatório também analisou um script de shell do PowerShell que faz parte do projeto de código aberto KeeThief, que permite ao adversário acessar credenciais de senha criptografadas armazenadas pelo software de gerenciamento de senha “KeePass” da Microsoft.
“Parece que esse adversário utilizou essas ferramentas maliciosas para manter o acesso remoto persistente e a exfiltração de dados da rede da vítima. O adversário pode ter usado o utilitário ‘FRP’ para fazer o túnel das sessões rdp (Remote Desktop Protocol, protocolo de desktop remoto) de saída, permitindo acesso persistente à rede fora do perímetro de firewall.” continua o relatório. “O web shell china chopper também fornece a capacidade persistente de navegar por toda a rede da vítima quando dentro do perímetro. Aproveitar o utilitário ‘KeeThief’ permite o acesso a credenciais sensíveis de senha de usuário e, potencialmente, a capacidade de pivotar para contas de usuário fora da rede da vítima,”
O relatório também detalha 7 arquivos adicionais contendo código hypertexto preprocessador (PHP) malicioso que funciona como shells web maliciosos, que foram identificados como ChunkyTuna e Tiny web shells. Ambos os web shells aceitam comandos e dados de um operador remoto, permitindo que o operador C2 controle remotamente o sistema comprometido.
FONTE: SECURITY AFFAIRS