4.000'den fazla terk edilmiş ancak yine de aktif Web Backoors kaçırıldı ve araştırmacılar, bunlara komuta etmek için kullanılan süresi dolmuş alan adlarını kaydettirdikten sonra iletişim altyapıları detaylandırıldı.
Canlı kötü amaçlı yazılımlardan bazıları (web kabukları), iletişim alanlarının kontrolünü araç kontrol eden herkesin komutlarını yürütmeye hazır olan hükümet ve üniversite sistemleri de dahil olmak üzere yüksek profilli hedeflere sahip web sunucularına dağıtıldı.
Shadowserver Vakfı ile birlikte, Saldırı Güvenlik Kıyafetinde Araştırmacılar WatchTowr Labs bu alanların ve ilgili kurbanların kötü niyetli aktörlerin eline düşmesini engellediler.
Backdoors, yetkisiz uzaktan erişim ve kontrole izin vermek için tehlikeye atılmış bir sistem üzerine ekilen kötü amaçlı araçlar veya kodlardır. Tehdit aktörleri genellikle onları kalıcı erişim için kullanırlar ve saldırıyı daha da ileriye taşıyacak tehlike altına alınan sistem komutlarında yürütmek için kullanırlar.
WatchTowr araştırmacıları, çeşitli web mermilerindeki alan adları için avlanmaya başladılar ve süresi dolmuş olanları satın alarak esasen arka kapıların kontrolünü ele geçirdiler.
Bir günlük sistemi kurduktan sonra, terk edilmiş ancak yine de aktif kötü amaçlı yazılım, araştırmacıların kurbanların en azından bir kısmını tanımlamasına izin veren talepler göndermeye başladı.
Araştırmacılar, 40'tan fazla alana kaydolmaktan, "eve telefon etmeye" çalışan 4.000'den fazla uzlaşmış sistemden iletişim aldı.
Araştırmacılar, dosya yönetimi ve kaba zorlama yetenekleri sunan daha gelişmiş C99Shell ve genellikle APT gruplarına bağlı 'China Chopper' web kabuğu da dahil olmak üzere "klasik" R57shell, daha gelişmiş C99shell de dahil olmak üzere birkaç arka kapı türü buldular.
Rapor, Lazarus Grubu ile ilişkili davranışı sergileyen bir arka kapıdan bile bahsediyor, ancak daha sonra tehdit oyuncunun aracının başkaları tarafından yeniden kullanıldığını açıklıyor.
Çeşitli ihlal edilen makineler arasında Watchtowr, Çin'in hükümet altyapısında mahkemeler, tehlikeye atılmış bir Nijeryalı hükümet yargı sistemi ve Bangladeş hükümet ağındaki sistemler de dahil olmak üzere birden fazla sistem buldu.
Buna ek olarak, Tayland, Çin ve Güney Kore'deki eğitim kurumlarında enfekte sistemler bulunmuştur.
Watchtowr, gelecekte devralmaya hazır olmayacaklarından emin olmak için, kaçırılan alanları SHADOWSERver Vakfı'na yönetme sorumluluğunu verdi. Shadowserver şimdi ihlal edilen sistemlerden alanlarına gönderilen tüm trafiği lavabın tutuyor.
WatchTowr'ın araştırması, karmaşık olmasa da, kötü amaçlı yazılım işlemlerinden süresi dolmuş alanların hala yeni siber suçlulara hizmet edebileceğini gösteriyor ve bu da sadece kontrol alanlarını kaydederek bazı kurbanlar alacak.
Cisa, son hükümet hackinin ABD Hazinesi ile sınırlı olduğunu söylüyor
Orta Doğu Govt Orgs, ISS'lere karşı konuşlandırılan Eagerbee Backdoor
Almanya, 30.000 Android cihazına yüklenen Badbox kötü amaçlı yazılımları engelliyor
Winnti bilgisayar korsanları yeni Glutton PHP Backdoor ile diğer tehdit aktörlerini hedefleyin
Rus siber casusları Ukrayna'yı hedeflemek için diğer bilgisayar korsanlarının arkasına saklanıyor
Kaynak: Bleeping Computer