详细内容或原文请订阅后点击阅览
中国公寓织布蚂蚁在亚洲渗透了四年以上的亚洲电信公司
中国链接的APT Weaver Ant渗透了四年多的电信服务提供商的网络。与中国的威胁参与者韦弗·蚂蚁(Weaver Ant)渗透了亚洲电信提供商的网络已有四年多了。在法医调查中,Sygnia研究人员观察到了多个警报,该警报揭示了由服务帐户[…]
来源:Security Affairs _恶意软件中国公寓织布蚂蚁在亚洲渗透了四年以上的亚洲电信公司
中国链接的APT Weaver Ant渗透了四年多的电信服务提供商的网络。
中国与中国的威胁行为者Weaver Ant渗透了四年多的亚洲电信提供商的网络。
在法医调查中,Sygnia研究人员观察到了多个警报,该警报揭示了来自身份不明的服务器的服务帐户重新支持的威胁行为者帐户。进一步的分析发现了内部服务器上的中国斩波器壳,该壳被妥协了多年。这导致了Weaver Ant的活动的发现,这是一个与中国相关的群体,使用网络炮弹进行持久性,远程代码执行以及通过隧道的横向移动。
中国菜刀专家检测到了多个Web壳,其中包括一个名为“ inmemory”的未知网络壳。最初由中国威胁参与者开发的中国斩波器壳可以使远程访问和控制受损的网络服务器,促进持续访问,命令执行和数据剥落。
攻击者经常使用的加密中国斩波器变体采用AES加密来逃避Web应用程序防火墙(WAFS)的检测。它是使用ASPX和PHP部署在外部面对服务器上的,作为网络渗透的切入点。这种加密使攻击者绕过自动检测机制,从而使法医分析具有挑战性。
两种关键的逃避技术阻碍了调查。首先,攻击者在有效载荷中使用了特定的关键字,例如“密码”和“键”,该载荷通常会在日志中编辑,从而掩盖了恶意内容。其次,发射的有效载荷通常超过了记录机制的字符限制,从而导致截短的数据使完全法医重建变得困难。这些策略确保了隐身,持续访问受损的系统。
报告在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs ( -