Célzott támadások
Az AhnLab SEcurity intelligence Center (ASEC) jelentése szerint egy Larva-25003 nevű, kínai nyelvet használó támadó csoport célzott támadásokat hajtott végre dél-koreai IIS (Internet Information Services) webkiszolgálók ellen. A támadók kihasználták a nem megfelelően karbantartott szervereket, és többféle rosszindulatú eszközt telepítettek, beleértve egy natív IIS modult, amely képes volt az összes HTTP forgalom elfogására és módosítására.
A támadók a appcmd.exe eszközt használták a IsapiCachesModule nevű modulként regisztrált rosszindulatú DLL telepítésére. Ez a modul lehetővé tette a teljes HTTP forgalom manipulálását, beleértve a kérések átirányítását, a válaszok módosítását és a webshell funkciók végrehajtását. Egy kínai nyelvű grafikus felülettel rendelkező eszköz, amely egy rootkit (Winkbj.sys) segítségével elrejtette a rosszindulatú fájlokat és folyamatokat a rendszerben, megnehezítve ezzel a biztonsági szoftverek általi észlelést.
A Gh0st Rat jól ismert távoli hozzáférést biztosító trójai program, amelyet gyakran használnak kínai APT csoportok. Ez a szoftver lehetővé teszi a támadók számára a fájlok kezelését, képernyőképek készítését, billentyűleütések rögzítését és egyéb kémkedési tevékenységeket. A támadók egy ASP.NET alkalmazáson keresztül egy rosszindulatú DLL-t töltöttek be, amely képes volt BASE64 és AES titkosítással védett adatokat dekódolni és végrehajtani a memóriában, így elkerülve a fájlalapú észlelést.
A támadók célja valószínűleg pénzügyi haszonszerzés volt, például affiliate linkek beillesztésével a weboldalakba, valamint érzékeny információk megszerzése a felhasználóktól.
