
Tidak kurang dari 4.000 pintu belakang web unik yang sebelumnya digunakan oleh berbagai pelaku ancaman telah dibajak dengan mengambil alih infrastruktur yang ditinggalkan dan sudah kadaluarsa hanya dengan $20 per domain.
Pengawasan perusahaan keamanan siber, Towr Labs, mengatakan pihaknya melakukan operasi tersebut dengan mendaftarkan lebih dari 40 nama domain yang pintu belakangnya telah dirancang untuk digunakan sebagai perintah dan kontrol (C2). Bekerja sama dengan Shadowserver Foundation, domain yang terlibat dalam penelitian ini telah tenggelam.
“Kami telah membajak pintu belakang (yang bergantung pada infrastruktur yang sudah ditinggalkan dan/atau domain yang sudah kadaluwarsa) yang ada di dalam pintu belakang, dan sejak itu kami telah menyaksikan dampaknya,” kata CEO watchTowr Labs Benjamin Harris dan peneliti Aliz Hammond dalam sebuah pernyataan teknis. tulisan minggu lalu.

“Pembajakan ini memungkinkan kami melacak inang yang telah disusupi saat mereka 'melapor', dan secara teoritis memberi kami kekuatan untuk menyita dan mengendalikan inang yang telah disusupi ini.”
Di antara target-target yang dikompromikan yang diidentifikasi melalui aktivitas suar termasuk entitas pemerintah dari Bangladesh, Tiongkok, dan Nigeria; dan institusi akademis di Tiongkok, Korea Selatan, dan Thailand, antara lain.
Pintu belakang, yang tidak lain hanyalah cangkang web yang dirancang untuk menawarkan akses jarak jauh yang persisten ke jaringan target untuk eksploitasi lanjutan, memiliki cakupan dan fungsi yang bervariasi –
- Shell web sederhana yang mampu menjalankan perintah yang diberikan penyerang melalui kode PHP
- cangkang c99
- r57shell
- China Chopper, sebuah cangkang web yang menonjol dari kelompok ancaman persisten tingkat lanjut (APT) China-nexus

Baik c99shell dan r57shell adalah shell web berfitur lengkap dengan fitur untuk mengeksekusi kode atau perintah arbitrer, melakukan operasi file, menyebarkan payload tambahan, memaksa server FTP, dan menghapus dirinya sendiri dari host yang disusupi.
WatchTowr Labs mengatakan pihaknya mengamati kejadian di mana beberapa web shell di-backdoor oleh pengelola skrip untuk membocorkan lokasi di mana mereka ditempatkan, sehingga secara tidak sengaja menyerahkan kendali kepada pelaku ancaman lainnya juga.

Perkembangan ini terjadi beberapa bulan setelah perusahaan mengungkapkan bahwa mereka hanya menghabiskan $20 untuk memperoleh domain server WHOIS lama (“whois.dotmobiregistry[.]net”) yang dikaitkan dengan domain tingkat atas (TLD) .mobi, yang mengidentifikasi lebih dari 135.000 sistem unik yang masih berkomunikasi dengan server bahkan setelah server tersebut bermigrasi ke “whois.nic[.]ponsel.”
Ini terdiri dari berbagai perusahaan swasta, seperti VirusTotal, serta server email untuk banyak entitas pemerintah, militer, dan universitas. Alamat .gov berasal dari Argentina, Bangladesh, Bhutan, Ethiopia, India, Indonesia, Israel, Pakistan, Filipina, Ukraina, dan Amerika Serikat
“Agak menggembirakan melihat penyerang melakukan kesalahan yang sama seperti pemain bertahan,” kata watchTowr Labs. “Sangat mudah untuk masuk ke dalam pola pikir bahwa penyerang tidak pernah salah, namun kami melihat bukti sebaliknya – kotak dengan web shell terbuka, domain kadaluwarsa, dan penggunaan perangkat lunak yang telah di-backdoor.”