Čínská hackerská skupina s názvem Weaver Ant strávila více než čtyři roky v síti poskytovatele telekomunikačních služeb, přičemž skrývala provoz a infrastrukturu pomocí kompromitovaných routerů Zyxel CPE.

Experti, kteří tuto infiltraci zkoumali, objevili několik variant „zadních vrátek“ China Chopper a dříve nezdokumentovaný vlastní webový shell nazvaný „INMemory“, který spouští škodlivé kódy v paměti hostitelského zařízení.

Hackeři cílili na významného asijského poskytovatele telekomunikačních služeb a podle výzkumníků z kybernetické technologické a servisní společnosti Sygnia se ukázali jako odolní vůči několika pokusům o odstranění.

Infiltrace Weaver Ant využívala operační síť (ORB) složenou převážně z routerů Zyxel CPE k přesměrování provozu a skrytí infrastruktury. Útočníci získali přístup do sítě pomocí AES-šifrované varianty webového shellu China Chopper, který umožňoval vzdálené ovládání serverů a zároveň obcházel firewallová omezení.

Weaver Ant zavedli pokročilejší, na míru vytvořený webový shell známý jako INMemory, který využívá DLL (eval.dll) pro nenápadné „just-in-time“ spouštění kódu. Metody exfiltrace dat použité při útocích byly navrženy tak, aby vyvolaly co nejméně pozornosti, včetně pasivního zachytávání síťového provozu prostřednictvím zrcadlení portů, uvádí výzkumníci Sygnia ve své zprávě.

Místo nasazení webových shellů izolovaně Weaver Ant propojili tyto shellové nástroje dohromady technikou nazvanou „web shell tunneling“, kterou dříve používala finančně motivovaná hackerská skupina „Elephant Beetle“.

Tato technika přesměrovává provoz z jednoho serveru na druhý napříč různými segmenty sítě, čímž v podstatě vytváří skrytou síť velení a řízení (C2) uvnitř infrastruktury oběti.

Zdroj: BleepingComputer

Zdroj: eGOVERNMENT.NEWS  

​ 

Zdroj: B2B NETWORK NEWS