Mais de 4.000 backdoors únicos implantados anteriormente por diversos hackers foram sequestrados ao assumir o controle de infraestruturas abandonadas e domínios expirados, por valores tão baixos quanto US$ 20 por domínio.
A empresa de cibersegurança WatchTowr Labs realizou a operação registrando mais de 40 domínios que os backdoors utilizavam para comunicação de comando e controle (C2). Em parceria com a Shadowserver Foundation, os domínios identificados na pesquisa foram redirecionados para servidores de análise (sinkhole).
"Estamos sequestrando backdoors que dependiam de infraestruturas agora abandonadas ou de domínios expirados, e desde então temos monitorado os resultados chegando em massa," disseram Benjamin Harris, CEO da WatchTowr Labs, e a pesquisadora Aliz Hammond em um artigo técnico divulgado na última semana.
Essa estratégia permitiu à equipe rastrear os sistemas comprometidos à medida que se conectavam aos domínios. Teoricamente, isso também dava à equipe o poder de controlar esses sistemas comprometidos.
Entre os alvos comprometidos identificados pelas atividades de beaconing estavam entidades governamentais de Bangladesh, China e Nigéria, além de instituições acadêmicas na China, Coreia do Sul e Tailândia, entre outros.
Os backdoors identificados, conhecidos como web shells, permitem acesso remoto persistente a redes-alvo para exploração contínua. Esses web shells variavam em escopo e funcionalidade, incluindo:
Web shells simples: Capazes de executar comandos fornecidos pelo invasor via código PHP.
c99shell e r57shell: Web shells completos com funcionalidades avançadas, como execução de código ou comandos arbitrários, operações de arquivo, implantação de payloads adicionais, força bruta em servidores FTP e capacidade de se auto-remover.
China Chopper: Um web shell amplamente utilizado por grupos de ameaças persistentes avançadas (APT) ligados à China.
A WatchTowr Labs também observou casos em que alguns web shells eram projetados com backdoors pelos próprios mantenedores dos scripts, permitindo que outros agentes de ameaça assumissem o controle das localizações onde eles estavam implantados.
Esse desenvolvimento ocorre poucos meses após a empresa adquirir por apenas US$ 20 um domínio legado de servidor WHOIS ("whois.dotmobiregistry[.]net"), associado ao domínio de nível superior .mobi. Mesmo após a migração para "whois.nic[.]mobi", mais de 135.000 sistemas continuavam se comunicando com o servidor antigo.
Esses sistemas incluíam empresas privadas, como VirusTotal, além de servidores de e-mail de diversas entidades governamentais, militares e acadêmicas. Entre os endereços do governo estavam os de Argentina, Bangladesh, Butão, Etiópia, Índia, Indonésia, Israel, Paquistão, Filipinas, Ucrânia e EUA.
"É encorajador perceber que os atacantes também cometem os mesmos erros que os defensores," afirmou a WatchTowr Labs. "É fácil pensar que os atacantes são infalíveis, mas encontramos evidências do contrário – sistemas com web shells expostos, domínios expirados e softwares que foram backdoored."
Via - THN
Comments