Délkelet-Ázsia kormányzati komplex támadási lánca
A Ctrl-Alt-Intel kutatása egy többfázisú APT kampányt ír le, amely Délkelet-Ázsia kormányzati és katonai infrastruktúráját célozta, és amelynek belépési pontja egy kritikus cPanel sérülékenység (CVE-2026-41940) volt.
A támadók a cPanel/WHM hitelesítés-megkerülési hibáját használták ki, amely CRLF injection révén lehetővé tette a whostmgrsession cookie manipulálását és hitelesítés nélküli root szintű hozzáférés megszerzését. A kezdeti hozzáférés után egy indonéz védelmi portál ellen egyedi exploit láncot alkalmaztak. A CAPTCHA védelmet a session cookie-ból kiolvasott értékkel kerülték meg, majd egy sebezhető funkción keresztül SQL injectiont hajtottak végre. Ezt PostgreSQL COPY … TO PROGRAM funkcióval operációs rendszer szintű kódfuttatásra emelték.
A művelet adatkinyerése során a parancskimenetet ideiglenes fájlokba írták, base64-kódolták, majd adatbázis-funkciókon keresztül olvasták vissza, minimalizálva a forenzikai nyomokat.
A kampány végső célja nagyméretű adatlopás volt, amely során több gigabájtnyi érzékeny dokumentum – köztük személyes és pénzügyi adatok – került exfiltrálásra.
