Squidoor backdoor
A Palo Alto Networks Unit 42 kutatása egy Squidoor nevű fejlett hátsó ajtó (backdoor) programot tár fel, amelyet feltételezhetően kínai fenyegetési szereplők fejlesztettek ki. Ez a kártevő 2023 márciusa óta célzott támadásokat hajt végre kormányzati, védelmi, telekommunikációs, oktatási és légiközlekedési szektorok ellen Délkelet-Ázsiában és Dél-Amerikában.
A Squidoor mind Windows, mind Linux rendszereken képes működni, így széles körben alkalmazható különböző infrastruktúrák ellen. A kártevő többféle protokollt használ a vezérlőszerverrel való kommunikációra, így az Outlook API-t, DNS és ICMP tunneling-et, ezzel elkerülve a hagyományos észlelési módszereket.
A támadók elsősorban az Internet Information Services (IIS) szerverek sebezhetőségeit kihasználva telepítenek webshell-eket, mint például az OutlookDC.aspx, Error.aspx és TimeoutAPI.aspx, amelyek segítségével tartós hozzáférést biztosítanak a fertőzött rendszerekhez.
