Mais de 4.000 backdoors web abandonadas, porém ainda ativas, foram sequestradas e sua infraestrutura de comunicação foi sinkholed, depois que pesquisadores registraram domínios expirados usados para comandá-las.
Algumas das live malwares (web shells) foram implantadas em servidores web de alvos de alto perfil, incluindo sistemas governamentais e universitários, prontos para executar comandos de qualquer pessoa que assumisse o controle dos domínios de comunicação.
Em colaboração com a The Shadowserver Foundation, pesquisadores da organização de segurança ofensiva WatchTowr Labs impediram que esses domínios e as vítimas correspondentes caíssem nas mãos de atores maliciosos.
Backdoors são ferramentas ou códigos maliciosos implantados em um sistema comprometido para permitir acesso e controle remoto não autorizados.
Os atores de ameaças geralmente os usam para acesso persistente e para executar no sistema comprometido comandos que avançariam o ataque.
Os pesquisadores da WatchTowr começaram a buscar domínios em várias web shells e compraram todos aqueles que haviam expirado, tomando assim o controle dos backdoors.
Após configurar um sistema de log, os malwares abandonados, mas ainda ativos, começaram a enviar requisições que permitiram aos pesquisadores identificar pelo menos algumas das vítimas.
Ao registrar mais de 40 domínios, os pesquisadores receberam comunicação de mais de 4.000 sistemas comprometidos tentando "telefonar para casa".
Os pesquisadores encontraram vários tipos de backdoors, incluindo o "clássico" r57shell, o mais avançado c99shell, que oferece gerenciamento de arquivos e capacidades de força bruta, e o web shell 'China Chopper', frequentemente associado a grupos APT.
O relatório até menciona um backdoor que apresentou comportamento associado ao Grupo Lazarus, embora mais tarde esclareça que provavelmente foi uma reutilização da ferramenta do ator de ameaças por outros.
Entre o conjunto variado de máquinas violadas, a WatchTowr encontrou vários sistemas dentro da infraestrutura governamental da China, incluindo tribunais, um sistema judiciário do governo nigeriano comprometido e sistemas na rede governamental de Bangladesh.
Além disso, sistemas infectados foram encontrados em instituições educacionais na Tailândia, China e Coreia do Sul.
A WatchTowr passou a responsabilidade de gerir os domínios sequestrados para a The Shadowserver Foundation, para garantir que eles não se tornarão disponíveis para tomada no futuro.
A Shadowserver agora está sink-holing todo o tráfego enviado dos sistemas violados para seus domínios.
A pesquisa da WatchTowr, embora não complexa, mostra que domínios expirados de operações de malware ainda poderiam servir a novos cibercriminosos, que também conseguiriam algumas vítimas simplesmente registrando os domínios de controle.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...