De China Chopper backdoor relevant blijft, actief, en effectief zelfs negen jaar nadat het werd ontdekt voor de eerste keer.
dever de afgelopen twee jaar, verschillende cybercriminelen hebben gebruikt China Chopper als onderdeel van hun malware campagnes, Cisco Talos onderzoeksgroep zei in een blogpost.De code is een web-shell die bekend staat als China Chopper. China Chopper aanvallers de mogelijkheid om op afstand toegang tot servers die webapplicaties.
Volgens de onderzoekers, Dit shell is heel moeilijk op te sporen.
Ondanks de geheimhouding van het web shell, in de afgelopen jaren is herhaaldelijk gezien in diverse kwaadaardige campagnes. In de meeste gevallen, zoals de publieke aandacht leidt tot de stopzetting van de aanvallen door criminelen, Echter, operators begon het te gebruiken vaker in de afgelopen twee jaar.
“In ons onderzoek, ontdekten we zowel Internet Information Services (IIS) en Apache webservers gecompromitteerd met China Chopper web schelpen. Wij hebben geen aanvullende gegevens over de manier waarop het web shell werd geïnstalleerd, maar er zijn verschillende web applicatie frameworks zoals oudere versies van Oracle WebLogic of WordPress die mogelijk doelwit zijn met een bekende uitvoering van externe code of bestandsinvoeging exploits”, - verslag Cisco Talos specialisten.
Op zijn blog, Cisco Talos sprak over drie campagnes die gebruikt China Chopper.
De eerste die gericht zijn op een overheidsorganisatie in Azië met als doel het stelen van documenten en kopieën bases’. Om dit te doen, een China Chopper backdoor is geïnstalleerd op meerdere servers.
Lees ook: MyDoom worm is al 15 jaar oud, maar het is nog steeds actief
In het tweede geval, de organisatie in Libanon werd onderworpen aan een aantal cyber ttacks, onder meer met het gebruik van de afpersing software Sodinokibi en GandCrab. Voor data mining gebruikt RAS, de Gh0stRAT en Venom gereedschappen.
De derde campagne gericht op een Aziatische hosting provider. De aanval op Windows-servers duurde 10 maanden.
Volgens experts, het web shell is op grote schaal beschikbaar en kan worden gebruikt door een criminele. Dus, het is bijna onmogelijk om aanvallen te verbinden met een specifieke groep, zich uitsluitend op de aanwezigheid van China Chopper.
Beschermende maatregelen:
“Het gebruik van China Bijl in de afgelopen campagnes bewijst dat veel oude bedreigingen nooit echt sterven, en verdedigers op het internet moeten worden op zoek naar malware jong en oud”, - waarschuwen Cisco Talos specialisten.
Bij het beveiligen van de infrastructuur is het belangrijk om als interne gevelbekleding webservers houden, toepassingen, en frameworks up-to-date met de nieuwste security patches om het risico van compromis met reeds bekende exploits te beperken.
Ondanks de leeftijd, China Chopper is hier te blijven, en we zullen waarschijnlijk zien in het wild gaan vooruit.
