Den Kina Chopper bagdør er stadig relevant, aktiv, og effektive endda ni år efter det blev opdaget for første gang.
denver de seneste to år, flere cyberkriminelle har brugt Kina Chopper som en del af deres malware kampagner, en Cisco Talos forskergruppe sagde i et blogindlæg.Koden er en web shell kendt som Kina Chopper. Kina Chopper muligt for hackere at få fjernadgang til servere, der kører web-applikationer.
Ifølge forskerne, denne skal er ganske vanskeligt at opdage.
På trods af den fortrolige karakter af web-skallen, i de seneste par år har det været flere gange set i forskellige ondsindede kampagner. I de fleste tilfælde, sådan offentlig opmærksomhed fører til ophør af angreb af kriminelle, imidlertid, operatører begyndte at bruge det oftere i løbet af de seneste to år.
”I vores forskning, vi opdagede både Internet Information Services (IIS) og Apache webservere kompromitteret med Kina Chopper web skaller. Vi har ikke yderligere oplysninger om, hvordan internettet skallen blev installeret, men der er flere web-applikation rammer såsom ældre versioner af Oracle WebLogic eller WordPress der kan have været målrettet med kendte fjernkørsel af programkode eller fil inklusion udnytter”, - rapport Cisco Talos specialister.
På sin blog, Cisco Talos talte omkring tre kampagner, der brugte Kina Chopper.
Den første rettet mod en regering organisation i Asien med det formål at stjæle dokumenter og baser kopier. At gøre dette, en Kina chopper bagdør blev installeret på flere servere.
Læs også: Mydoom-ormen er allerede 15 år gammel, men det er stadig aktiv
I det andet tilfælde, organisationen i Lebanon blev underkastet en række cyber ttacks, herunder med brug af afpresning software Sodinokibi og GandCrab. For data mining blev anvendt fjernadgang, de Gh0stRAT og Venom værktøjer.
Den tredje kampagne rettet mod en asiatisk udbyder. Angrebet på Windows-servere varede 10 måneder.
Ifølge eksperter, web skallen er bredt tilgængelige, og kan bruges af enhver kriminel. Dermed, det er næsten umuligt at forbinde angreb med en bestemt gruppe, forlade sig alene på tilstedeværelsen af Kina Chopper.
Beskyttelsesforanstaltninger:
”Brugen af Kina Chopper i de seneste kampagner viser, at en masse gamle trusler aldrig rigtig dø, og forsvarere på internettet har brug for at være på udkig efter malware både unge og gamle”, - advare Cisco Talos specialister.
Når sikring af infrastrukturen er det vigtigt at holde internt såvel som eksternt modstående webservere, applikationer, og rammer ajour med de nyeste sikkerhedsrettelser til at afbøde risikoen for kompromis med allerede kendte exploits.
På trods af alder, Kina Chopper er kommet for at blive, og vi vil sandsynligvis se det i naturen går fremad.
