Недавний отчет о методах, используемых известными хакерскими группировками APT28 и APT32, а также китайским хакером HAFNIUM, подчеркивает угроза, исходящая от веб-оболочек, которые становятся все более распространенным инструментом в арсенале злоумышленников. Эти хакеры, связанные с Россией и Вьетнамом соответственно, используют веб-оболочки для поддержания работоспособности в скомпрометированных средах.
Что такое веб-оболочка?
Веб-оболочка — это вредоносный код, загружаемый на веб-сервер, который exploits уязвимости при загрузке файлов, предоставляя злоумышленникам несанкционированный доступ.
Новейшие наблюдения и методы
Согласно недавним наблюдениям Socket, злоумышленники внедряют веб-оболочки не только в традиционные системы, но и в несколько экосистем пакетов с открытым исходным кодом, таких как:
- npm
- PyPI
- Go
В частности, анализ выявил наличие пакетов с возможностями обратной оболочки. Одна из таких реализаций использует модуль "os" для создания обратной оболочки, устанавливая TCP-соединение с IP-адресом, контролируемым злоумышленником, через порт 7777.
Проблема нестандартных портов
Использование нестандартных портов, таких как 7777, часто указывает на настройки разработчиков, которые непреднамеренно оставляют эти порты открытыми для использования. VirusTotal отметил этот IP-адрес как вредоносный и связал его с вьетнамской технологической фирмой.
Методы сокрытия вредоносных действий
К тому же, службы туннелирования, такие как ngrok, значительно усложняют обнаружение, маскируя соединения и обеспечивая повышенную интерактивность в обратных оболочках. Часто для незаконного доступа используется порт 4444, связанный с различными сервисами, включая:
- Oracle WebLogic
- Metasploit
Один из проверенных пакетов npm попытался подключиться через этот порт, маскируясь под программу обновления удаленного клиента для Node.js, что позволило скрыть злонамеренные намерения.
Эволюция тактик хакеров
В примерах Go продемонстрированы сопоставимые функциональные возможности. Команды используют curl для загрузки удаленного shell-скрипта, который выполняется автоматически. Такие тактики сокрытия вредоносных действий через загрузки на основе shell позволяют хакерам обходить защитные меры и избегать обнаружения.
Некоторые примеры кода также показывают загрузку и выполнение скриптов Groovy, гибкой альтернативы Java, непосредственно в памяти. Это дает злоумышленникам возможность эффективно использовать системные права доступа.
Данные методы подчеркивают эволюционирующую природу хакеров, что делает особенно важным мониторинг веб-серверов и реестров пакетов на предмет признаков компрометации. Современные стратегии кибератак становятся все более сложными и разнообразными, что ставит под угрозу безопасность информационных систем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Современные кибератаки: угроза веб-оболочек и хакеров".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.