当地时间9月15日,网络安全和基础设施安全局(CISA)发布恶意软件分析报告(MAR),报告详细介绍了19份恶意文件的细节,包括伊朗黑客使用的细节Web Shell技术细节。
Web Shell是典型的Web开发编程语言(例如ASP,PHP,JSP)攻击者植入编写的代码Web远程访问和代码执行在服务器上。Web Shell攻击者可以传输和执行JavaScript该代码可用于列举目录,执行有效负载和泄露数据。
根据CISA匿名报告APT组织的伊朗黑客正在利用几个已知的Web Shell,在美国各地IT,攻击政府、医疗、金融和保险组织。他们使用它Pulse Secure 虚拟专用网,Citrix ADC以及 F5’s BIG-IP ADC攻击产品中的漏洞,使用意软件ChunkyTuna,Tiny和China Chopper。
几周前,研究人员透露,伊朗APT组织名为“Pioneer Kitten”,又名 Fox Kitten或Parisite。该组织现在正试图通过向其他黑客出售其入侵网络的访问权来获利。在过去的几个月里,他们一直在攻击虚拟专用网络服务器。
此外,CISA专家还分析了程序数据(PDB)这些文件已被识别为开源项目“ FRP”编译版。FRP可以使攻击者通过隧道,将各种类型的连接建立到目标网络范围之外的远程操作员。该报告还分析了作为KeeThief部分开源项目PowerShell 脚本可以让攻击者访问Microsoft“ KeePass”存储在密码管理软件中的加密密码凭证。
攻击者使用这些恶意工具来维持持久的远程访问,并从受害者的网络中泄露数据。他们可能已经使用了“ FRP”建立远程桌面协议的实用程序(RDP)会话的隧道,以支持从防火墙外对网络进行持久访问。
该报告还详细介绍了其他7份文件,其中包括恶意文件Web Shell恶意超文本预处理器(PHP)代码,标识为ChunkyTuna和Tiny Web Shell。这两个Web Shell可接受远程命令和数据,因此操作员可远程控制感染系统。
参考来源:
https://securityaffairs.co/wordpress/108357/malware/cisa-web-shells-iranian-hackers.html