Pojavila se sofisticirana kampanja kibernetičkih napada usmjerena na južnokorejske veb-servere, pri čemu akteri prijetnje koriste malver MeshAgent i SuperShell za kompromitovanje i Windows i Linux infrastrukture. Ovaj višestruki napad ukazuje na povećanje složenosti napada, jer protivnici iskorištavaju ranjivosti u uploadu datoteka kako bi uspostavili trajne uporišta u različitim serverskim okruženjima. Kampanja predstavlja značajan napredak u taktikama eksploatacije veb-servera, gdje napadači prvobitno stječu pristup putem ranjivih mehanizama za upload datoteka, prije nego što rasporede arsenal alata za izviđanje i postojanost. Dokazi ukazuju da akteri prijetnje nastavljaju operacije na oba tipa servera, uključujući Windows IIS servere i Linux sisteme, što ukazuje na dobro opremljenu operaciju sa mogućnostima djelovanja na više platformi koje obuhvataju arhitekture više operativnih sistema. Istraživanje otkriva prisustvo malvera zasnovanog na ELF-u uz tradicionalne Windows izvršne datoteke na zlonamjernim distribucijskim tačkama, potvrđujući namjeru napadača da kompromituju heterogena serverska okruženja. Otkriveno spremište malvera sadrži WogRAT, backdoor koji dijeli infrastrukturu s prethodnim napadačkim kampanjama, sugerišući operativni kontinuitet iste grupe prijetnji kroz više vektora napada. Analitičari ASEC-a identifikovali su više web shellova raspoređenih na kompromitovanim sistemima, uključujući popularne varijante kao što su Chopper, Godzilla i ReGe-ORG. Istraživači su primijetili da ovi alati, u kombinaciji sa kineskim alatima za izviđanje kao što su Fscan i Ladon, snažno ukazuju na aktere prijetnji koji govore kineski jezik, a koji orkestriraju kampanju kroz koordinisano upravljanje infrastrukturom.
Metodologija napada prati sistematski pristup, počevši raspoređivanjem web shellova kroz ranjivosti u uploadu datoteka u konfiguracijama veb-servera. Nakon uspostavljanja, napadači izvršavaju sveobuhvatne komande za izviđanje kako bi mapirali ciljno okruženje i identifikovali potencijalne mogućnosti za bočno kretanje. Ove komande uključuju `ipconfig`, `whoami /all`, `systeminfo`, `netstat -ano` i `fscan.exe -hf i.txt -nocolor -silent -o rr8.txt`. Nakon početnog izviđanja, akteri prijetnje raspoređuju SuperShell, reverse shell napisan u Go programskom jeziku koji podržava platforme Windows, Linux i Android. Ova mogućnost djelovanja na više platformi omogućava jedinstvenu kontrolu i upravljanje (C&C) nad različitim komponentama infrastrukture, održavajući operativnu fleksibilnost. Malver uspostavlja postojanost putem MeshAgent-a, koji pruža sveobuhvatne funkcije upravljanja na daljinu, uključujući prijenos datoteka, izvršavanje komandi i daljinski pristup radnoj površini zasnovan na webu. Eskalacija privilegija se vrši izvršavanjem PowerLadona, specifično koristeći SweetPotato tehniku za manipulaciju tokenima, što se vidi u komandi `powershell -exec bypass Import-Module .\Ladon.ps1;Ladon SweetPotato whoami`. Napadači potom vrše bočno kretanje koristeći ukradene akreditive i WMIExec, ciljajući dodatne sisteme, uključujući MS-SQL servere unutar kompromitovanog mrežnog perimetra. Ovaj metodički pristup pokazuje napredne karakteristike stalne prijetnje, pri čemu konačni cilj ostaje neutvrđen, ali potencijalno uključuje eksfiltraciju osjetljivih podataka ili raspoređivanje ransomwarea preko organizacione infrastrukture.
Ovaj incident je otkriven i objavljen od strane stručnjaka za kibernetičku sigurnost, pružajući detaljan uvid u napredne tehnike koje koriste sajber kriminalci. Upozorenje je objavljeno na web stranici ASEC, ogranka AhnLab-a, vodeće južnokorejske firme za sigurnost, a prenosi ga i Cyber Security News, ističući ozbiljnost i širok doseg ove prijetnje. U suštini, napadači prvo pronalaze servere koji imaju slabosti u sigurnosti, posebno one koji dozvoljavaju neovlašteno postavljanje datoteka. Jednom kada uspiju postaviti svoje zlonamjerne datoteke, koriste ih kako bi dobili pristup serveru i saznali što više o njemu, tražeći načine da se pomaknu dalje u mrežu ili da ostanu neprimijećeni. Nakon toga, ubacuju naprednije alate poput SuperShell-a i MeshAgent-a, koji im omogućavaju potpunu kontrolu nad zaraženim sistemima, bez obzira na to da li rade na Windows-u ili Linux-u. Alat poput MeshAgent-a im omogućava da upravljaju serverom kao da su fizički prisutni, preuzimaju datoteke, pokreću komande ili čak upravljaju radnom površinom servera. Kako bi dobili još veća ovlaštenja i pristup osjetljivijim podacima, koriste tehnike poput SweetPotato, koje im omogućavaju da “ukradu” administratorske dozvole. Kasnije, koristeći ukradene podatke za prijavu i specifične alate poput WMIExec, napadači se šire na druge servere unutar iste organizacije, uključujući i baze podataka. Cilj ovih radnji, iako nije u potpunosti jasan, najvjerovatnije je krađa povjerljivih informacija ili postavljanje ransomware-a, što može nanijeti ogromnu štetu organizacijama.