A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) divulgou um relatório de análise de malware (MAR) que inclui detalhes técnicos sobre métodos empregados por hackers iranianos.
Um “shell da web” é um código, geralmente escrito em linguagens de programação de desenvolvimento da web típicas (por exemplo, ASP, PHP, JSP), que os invasores implantam em servidores da web para obter acesso remoto e execução de código.
De acordo com o relatório da CISA , os hackers iranianos de um grupo APT não identificado estão empregando vários shells da web conhecidos, em ataques a organizações de TI, governo, saúde, financeiras e de seguros nos Estados Unidos. O malware usado pelos agentes da ameaça inclui os shells da web ChunkyTuna, Tiny e China Chopper .
Os hackers iranianos pertencem a um ator de ameaças baseado no Irã que estava por trás de ataques que exploravam vulnerabilidades no Pulse Secure VPN, Citrix Application Delivery Controller (ADC) e Gateway , e produtos BIG-IP ADC da F5 .
Algumas semanas atrás, pesquisadores do Crowdstrike revelaram que o grupo APT ligado ao Irã rastreado como Pioneer Kitten, também conhecido como Fox Kitten ou Parisite, agora está tentando monetizar seus esforços vendendo acesso a algumas das redes que hackeava para outros hackers .
Os hackers iranianos têm atacado VPNs corporativos nos últimos meses, eles têm invadido servidores VPN para plantar backdoors em empresas ao redor do mundo visando o Pulse Secure, Fortinet, Palo Alto Networks e VPNs Citrix .
O CISA MAR inclui detalhes técnicos de 19 arquivos maliciosos, incluindo vários componentes do shell da web China Chopper, como um aplicativo ASP que escuta conexões HTTP de entrada de um operador remoto.
Os shells da web permitem que os invasores forneçam e executem código JavaScript que pode ser usado para enumerar diretórios, executar cargas úteis e exfiltrar dados.
Os especialistas da CISA também analisaram um arquivo de dados do programa (PDB) e um binário que são uma versão compilada do projeto de código aberto FRP. O FRP pode permitir que invasores encapsulem vários tipos de conexões com um operador remoto fora do perímetro de rede do alvo. O relatório também analisou um script de shell do PowerShell que faz parte do projeto de código-fonte aberto KeeThief, que permite ao adversário acessar credenciais de senha criptografadas armazenadas pelo software de gerenciamento de senha “KeePass” da Microsoft.
“Parece que este adversário utilizou essas ferramentas maliciosas para manter o acesso remoto persistente e a exfiltração de dados da rede da vítima. O adversário pode ter usado o utilitário ‘FRP’ para encapsular sessões de RDP (Remote Desktop Protocol) de saída, permitindo acesso persistente à rede de fora do perímetro do firewall. ” continua o relatório. “O shell da web China Chopper também oferece a capacidade persistente de navegar por toda a rede da vítima quando dentro do perímetro. Aproveitando o utilitário ‘KeeThief’ permite o acesso a credenciais de senha de usuário confidenciais e, potencialmente, a capacidade de girar para contas de usuário fora da rede da vítima ”,
O relatório também detalha 7 arquivos adicionais contendo código malicioso Hypertext Preprocessor (PHP) que funciona como shells web maliciosos, que foram identificados como shells web ChunkyTuna e Tiny. Ambos os shells da web aceitam comandos e dados de um operador remoto, permitindo ao operador C2 controlar remotamente o sistema comprometido.
Fonte: https://securityaffairs.co/wordpress/108357/malware/cisa-web-shells-iranian-hackers.html