CISA elemzés iráni APT csoprotok által alkalmazott malware-ekről és támadási technikákról

 

Az amerikai CISA (Cybersecurity and Infrastructure Security Agency) iráni fenyegetési szereplőkhöz köthető malware-elemzési riportot közölt. A tárgyalt káros kódok ún. web shell malware-ek, amelyeket a támadók elsősorban webszerverek ellen alkalmaznak, abból a célból hogy azokhoz távoli hozzáférést nyerjenek majd további káros kódokat futtassanak. Az összefoglaló szerint a vizsgált támadások során főleg jól ismert web shellek (például: ChunkyTuna, Tiny és China Chopper) kerültek alkalmazásra amerikai kormányzati, egészségügyi és pénzügyi szervezetek ellen. Az összefoglaló továbbá a nyílt forrású FRP program különböző típusú kapcsolatok tunnelezésére történő használatával, valamint egy, a KeePass jelszószéf alkalmazást támadó PowerShell szkript elemzésével is foglalkozik.

A web shell malware-ek főbb jellemzőiről szóló NSA tájékoztató magyar nyelvű összefoglalását az NBSZ NKI weboldalán, itt találja.

(securityaffairs.co)