Αποκάλυψη Εργαλείων Χάκερ από Ερευνητές Κυβερνοασφάλειας

Οι ερευνητές κυβερνοασφάλειας της Hunt εντόπισαν έναν διακομιστή που φιλοξενούσε προηγμένα κακόβουλα εργαλεία, συμπεριλαμβανομένων των SuperShell command-and-control (C2) payloads και ενός Linux ELF Cobalt Strike beacon.

Ανακάλυψη και Κίνδυνοι

Η ανακάλυψη αυτή, που προήλθε από μια ρουτίνα αναζήτησης για λογισμικό ανοικτού κώδικα proxy, αναδεικνύει τους διαρκείς κινδύνους από μη ασφαλή υποδομή και την πολυπλοκότητα των σύγχρονων κυβερνοαπειλών.

Η συνεχής σάρωση του δημόσιου χώρου IPv4 από την Hunt εντόπισε έναν ανοικτό κατάλογο που περιείχε το IOX, ένα εργαλείο proxy ανοικτού κώδικα, μαζί με δύο κακόβουλα αρχεία: ps1 και ps2 (UPX-packed SuperShell payloads) και ένα αρχείο με την ετικέτα test (ένα Cobalt Strike beacon).

Λειτουργίες και Απειλές του SuperShell

Το SuperShell, ένα πλαίσιο C2 βασισμένο σε Python, επιτρέπει στους επιτιθέμενους να διαχειρίζονται συμβιβασμένες συσκευές μέσω SSH, να συντάσσουν payloads για πολλαπλές πλατφόρμες και να αναπτύσσουν ένα web-based admin panel. Παρά τη χαμηλή του ορατότητα σε σύγκριση με εργαλεία όπως το Cobalt Strike, οι δυνατότητές του το καθιστούν ισχυρή απειλή.

Η ανάλυση των αρχείων ps1 και ps2 αποκάλυψε εκτελέσιμα αρχεία Golang, συσκευασμένα με UPX, τα οποία αποσυσκευάστηκαν σε SuperShell backdoors, ανιχνευμένα από antivirus ως GOREVERSE.

Συντονισμένες Επιθέσεις και Υποδομή

Η ανάλυση έδειξε ότι τα δείγματα επικοινωνούσαν με την IP 124.70.143[.]234 στην θύρα 3232, υποδεικνύοντας ενεργή υποδομή command-and-control. Ο διακομιστής φιλοξενούσε επίσης το Asset Reconnaissance Lighthouse (ARL), ένα εργαλείο red-teaming για χαρτογράφηση ευπαθειών δικτύου.

Οι ανοικτές θύρες περιλάμβαναν την 5003 για το ARL και την 8888 για το admin panel του SuperShell, υποδηλώνοντας ότι οι επιτιθέμενοι συνδύαζαν φάσεις αναγνώρισης και εκμετάλλευσης.

Cobalt Strike Beacon και Εξέλιξη Υποδομών

Το αρχείο test, ένα UPX-packed Linux ELF binary, αναγνωρίστηκε ως Cobalt Strike beacon που συνδεόταν με την IP 8.219.177[.]40:443. Σε αντίθεση με τα δείγματα SuperShell, αυτό το beacon χρησιμοποιούσε αυτο-υπογεγραμμένο πιστοποιητικό που προσποιούνταν το jquery.com, μια τακτική για αποφυγή ελέγχου πιστοποιητικών.

Η συνύπαρξη των SuperShell και Cobalt Strike σε έναν διακομιστή υποδηλώνει ότι οι επιτιθέμενοι μπορεί να διαφοροποιούν τα εργαλεία τους για να μεγιστοποιήσουν την επιτυχία των εισβολών.

Επιπτώσεις για την Άμυνα Κυβερνοασφάλειας

Αυτή η ανακάλυψη υπογραμμίζει τον κρίσιμο ρόλο της σάρωσης ανοικτών καταλόγων στην ανάλυση απειλών. Η ενσωμάτωση του ARL με το SuperShell και το Cobalt Strike αποκαλύπτει την αυξανόμενη εξάρτηση των επιτιθέμενων από πολυεπίπεδες επιθέσεις.

Για τις οργανώσεις, τα ευρήματα τονίζουν τη σημασία της ασφάλισης των υπηρεσιών που είναι εκτεθειμένες στο διαδίκτυο και της παρακολούθησης ανωμαλιών πιστοποιητικών.

Η έρευνα της Hunt όχι μόνο αποκαλύπτει τρέχουσες απειλές αλλά και θέτει ένα προηγούμενο για μελλοντικές μεθοδολογίες κυνηγιού απειλών.

<