Kina Chopper bakdør er fortsatt relevant, aktiv, og effektive selv ni år etter at den ble oppdaget for første gang.
denver de siste to årene, flere kriminelle har brukt China Chopper som en del av deres malware kampanjer, Cisco Talos forskningsgruppe sa i et blogginnlegg.Koden er en web-shell kjent som Kina Chopper. Kina Chopper gir angripere ekstern tilgang servere som kjører web-applikasjoner.
Ifølge forskerne, Dette skallet er ganske vanskelig å oppdage.
Til tross for hemmeligholdelse av nettet skallet, i løpet av de siste årene har det gjentatte ganger blitt sett i forskjellige ondsinnede kampanjer. I de fleste tilfeller, slik offentlig oppmerksomhet fører til opphør av angrep av kriminelle, derimot, operatører begynte å bruke det oftere i løpet av de siste to årene.
“I vår forskning, vi oppdaget både Internet Information Services (IIS) og Apache webservere kompromittert med Kina Chopper web skjell. Vi har flere data om hvordan web skallet ble installert, men det er flere webapplikasjon rammeverk som eldre versjoner av Oracle WebLogic eller WordPress som kan ha blitt målrettet med kjent ekstern kjøring av kode eller fil inkludering exploits”, - rapport Cisco Talos spesialister.
På sin blogg, Cisco Talos snakket om tre kampanjer som brukte Kina Chopper.
Den første tar sikte på en statlig organisasjon i Asia med mål om å stjele dokumenter og baser kopier. Å gjøre dette, en Kina Chopper bakdør ble installert på flere servere.
Les også: MyDoom ormen er allerede 15 år gammel, men det er fortsatt aktiv
I det andre tilfellet, organisasjonen i Libanon ble utsatt for en rekke nett ttacks, blant annet med bruk av utpressing programvare Sodinokibi og GandCrab. For data mining ble brukt ekstern tilgang, de Gh0stRAT og Venom verktøy.
Den tredje kampanje rettet mot en asiatisk leverandør. Angrepet på Windows-servere varte i 10 måneder.
Ifølge eksperter, nettet skallet er allment tilgjengelig og kan brukes av en hvilken som helst kriminell. Og dermed, det er nesten umulig å koble angrep med en bestemt gruppe, stole utelukkende på tilstedeværelsen av Kina Chopper.
Beskyttende tiltak:
“Bruken av Kina Chopper de siste kampanjer viser at mange gamle trusler egentlig aldri dø, og forsvarerne på internett må være på jakt etter malware både unge og gamle”, - advarer Cisco Talos spesialister.
Ved fastspenning av infrastrukturen er det viktig å holde interne så vel som veggkledning webservere, applikasjoner, og rammer oppdatert med de siste sikkerhetsoppdateringene for å redusere risikoen for kompromiss med allerede kjente exploits.
Til tross for alders, Kina Chopper er kommet for å bli, og vi vil trolig se det i naturen fremover.
