TTL OSINT

Тропический солдат шпионит за правительственными учреждениями на Ближнем Востоке

В июне 2024 года исследователи в области безопасности обнаружили новую версию веб-оболочки China Chopper, используемую китайскоязычным злоумышленником Tropic Trooper. Эта веб-оболочка была обнаружена на общедоступном веб-сервере, на котором размещена система управления контентом (CMS) с открытым исходным кодом под названием Umbraco. Цепочка заражения включала использование нового варианта веб-оболочки China Chopper, который был скомпилирован как .NET-модуль Umbraco CMS. Злоумышленники также использовали множество наборов вредоносных программ, включая инструменты для последующей эксплуатации и новые программы для перехвата DLL-файлов, которые были загружены из легального уязвимого исполняемого файла. Вредоносные программы были разработаны для достижения основных целей вторжения, которые, как полагают, заключались в кибершпионаже. Злоумышленники смогли использовать некоторые веб-оболочки для выполнения команд на уязвимом сервере и удаления дополнительных инструментов для последующего использования, используемых для перемещения по сети. Большинство обнаруженного программного обеспечения - это инструменты с открытым исходным кодом, поддерживаемые китайскоязычными разработчиками. Для отправки этих файлов на зараженный сервер использовались веб-оболочки Umbraco. Экспорт вредоносного ПО был вызван с помощью команды rundll32 из файла a.bat, который, как предполагалось, использовался для тестирования. Злоумышленники использовали легальный исполняемый файл, уязвимый для перехвата в порядке поиска DLL, который загружал вредоносную DLL-библиотеку, удаленную по тому же пути, что и легальный исполняемый файл. datast.dll Библиотека, связанная с Tropic Trooper и загруженная тем же способом, была замечена ранее. Вся цепочка загрузки вредоносного ПО была спроектирована таким образом, чтобы она загружалась из легального исполняемого файла.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT для обеспечения более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:<<а href="https://securelist.com/new-tropic-trooper-webshell-infection/113737/">https://securelist.com/new-tropic-trooper-web-shell-infection/113737/

Примеры признаков компрометации:

• 51.195.37.155
• 103e4c2e4ee558d130c8b59bfd66b4fb
• 27c558bd42744cddc9edb3fa597d0510
• 8df9fa495892fc3d183917162746ef8fd9e438ff0d639264236db553b09629dc
• techmersion.com

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал