Windows IIS-Server, die kritische Webanwendungen und -dienste hosten, sind häufige Ziele von Hackern, da sie als Tore zu sensiblen Daten und Systemen dienen. Ein aktueller Angriff auf einen Windows IIS-Server eines südkoreanischen medizinischen Instituts hat diese Bedrohung erneut deutlich gemacht.
Angriff auf südkoreanische medizinische Einrichtung
Der Windows IIS-Server einer südkoreanischen medizinischen Einrichtung, der ein Bildarchivierungs- und Kommunikationssystem (PACS) betreibt, wurde von Hackern angegriffen. Laut dem AhnLab Security Intelligence Center (ASEC) führte dieser Angriff zu CoinMiner-Infektionen. Es gibt Hinweise auf das Hochladen von Web Shells, was auf mögliche PACS-Schwachstellen oder falsch konfigurierte Sicherheitseinstellungen hindeutet.
Die Angriffe, die nur wenige Tage auseinander lagen, wurden vermutlich von chinesischen Hackern organisiert, die verschiedene Werkzeuge wie Cpolar und RingQ verwendeten und mit chinesischen Anmerkungen versehen waren.
Details der Angriffe
Der erste Angriff begann mit dem Hochladen von Chopper- und Behinder-Web Shells auf den Webserver der medizinischen Einrichtung, gefolgt von einer Systemaufklärung. Zur Privilegieneskalation wurde BadPotato eingesetzt, während Cpolar für den Fernzugriff genutzt wurde. Ein CoinMiner wurde über eine Datei namens „1.cab“ eingeschleust, die ein Batch-Skript, eine Taskplaner-XML und einen Downloader enthielt.
Verwendete Werkzeuge und Techniken
Die Angreifer nutzten zusätzlich zu den Web Shells (ASPXspy, Caidao) und Privilegieneskalationstools (PrintNotifyPotato, IIS LPE, GodPotato) auch Portweiterleitungstools (Lcx, Frpc) sowie Malware zur Erstellung von Benutzerkonten. Diese umfassende Tool-Sammlung ermöglichte es den Angreifern, kontinuierlichen Zugriff auf den kompromittierten Server zu behalten und Kryptowährung zu schürfen.
Einige Tage später erfolgte ein zweiter Angriff auf den Webserver der medizinischen Einrichtung. Der Angreifer nutzte Certutil, um zusätzliche Malware herunterzuladen und weitere Privilegieneskalationstools wie GodPotato, PrintNotifyPotato und den CVE-2021-1732-Exploit zu installieren. Es wurden auch Netzwerkerkundungstools wie fscan, remote shell und Netcat eingesetzt.
Empfehlungen zur Prävention
Um solche Angriffe zu verhindern, empfehlen Sicherheitsexperten:
- Beheben von Schwachstellen bei Datei-Uploads
- Regelmäßige Passwortänderungen
- Implementierung von Zugriffskontrollen zur Minderung lateral Bewegungsrisiken
- Aktualisierung von Antivirensoftware
Indikatoren für Kompromittierung (IOCs)
Erster Angriff:
- 67af0bc97b3ea18025a88a0b0201c18d: WebShell – woanware (1.aspx)
- f6591c1ab7f7b782c386af1b6c2c0e9b: WebShell – woanware (2.aspx)
- 986c8c6ee6f6a9d12a54cf84ad9b853a: WebShell – Chopper (2a.aspx)
- 2183043b19f4707f987d874ce44389e3: WebShell – Behinder (32.aspx)
- 77d507d30a155cf315f839db3bf507f7: WebShell – Behinder (1234a.aspx)
- 8d52407e143823a867c6c8330cdcb91a: WebShell – Behinder (1235a.aspx)
- 73cdd1be414dec81c6e42b83f0d04f20: WebShell – Behinder (12345a.aspx)
- 7e9f28cedfa8b012ab8646ac341a841c: BadPotato (bad1231.exe)
- 8cf601c06370612010f438fa8faa8aa7: Cpolar (cpolar.exe)
- e2753e9bc7e5880a365f035cdc5f6e77: Runner (1.bat)
- 205e6247f5a0dce8a55910354c816a61: ScheduleTask (1.xml)
- e13adb67739f4b485544ed99bc29f618: NSSM (service.exe)
- f3bdcd409063a42479dbb162dc7f5d21: CoinMiner downloader (svchost.exe)
- fce1b5ffcaefd1dcb130f4e11cdb488d: CoinMiner downloader (sihost.exe)
- a66338d9ba331efa4918e2d6397b17fe: CoinMiner (SecurityHealthServices.exe)
- 40dc8989d4b2e3db0a9e98ef7082b0d9: WebShell – ASPXspy (aspx.txt)
- b69eb0155df920514d4ae8d44316d05a: WebShell – ASPXspy (good.txt)
- 285b5f246f994b4650475db5143e4987: WebShell – Caidao (index.txt)
- 7e1a2828650e707d8142d526604f4061: BadPotato (bad.exe)
- 83b66aae624690e82c8e011e615bce59: BadPotato (bad520.exe)
- 5f3dd0514c98bab7172a4ccb2f7a152d: GodPotato (god3.exe)
- 1fdb1dd742674d3939f636c3fc4b761f: GodPotato (god4.exe)
- 493aaca456d7d453520caed5d62fdc00: PrintNotifyPotato (P2.exe)
- 493aaca456d7d453520caed5d62fdc00: PrintNotifyPotato (P3.exe)
- 7727070eb8c69773cafb09ce77492c27: PrintNotifyPotato (P4.exe)
- f7d53946b3ae7322cd018480a2f47de8: IIS LPE (iislpe.exe)
- 10cf4d43163ee395ddad1fe7e777e2c9: IIS LPE (iislpe1.exe)
- f222524766456936074f513cec2149a8: Cpolar (cpo.exe)
- d6f84855f212400314fb72d673aba27b: Frpc (F.exe)
- 62ba55ac729763037da1836b46cb84bc: Frpc (frpc.exe)
- 3c5905da1f3aecd2dccc05f6b76a1ca9: Frpc Config (frpc.txt)
- ce1f3b789b2aab2b2b833343f13b7c98: Lcx (99.exe)
- 371a2eb2800bb2beccc1a975f3073594: Lcx (Lcx.exe)
- 7abca4faa3609f86f89f1a32fe7bbcc6: UserAdder (UserAdd.exe)
- e8a7e8bb090da018b96aab3a66c7adeb: UserAdder Command (net.txt)
- 5d9464aba77e1830e1cf8d6b6e14aa55: UserAdder Command (useradd.bat)
Zweiter Angriff:
- 71a6ba713f3f5c8e24c965487a86b5d4: WebShell – Chopper (zbngjv.aspx)
- 93abe2fcb964ec91de7d75c52d676d2d: WebShell – Chopper (bin.aspx)
- 2c3de1cefe5cd2a5315a9c9970277bd7: WebShell – Godzilla (aaa.ashx)
- 69c7d9025fa3841c4cd69db1353179cf: WebShell – Godzilla (aaa.asmx)
- 7871587d8de06edc81c163564ea4ea41: WebShell – awen (cmd.aspx)
- 10b6e46e1d4052b2ad07834604339b57: WebShell – Behinder (hi1.aspx)
- 5eeda9bfb83aacb9c3f805f5a2d41f3b: WebShell – Deleter (sklqbpbl.aspx)
- 5f3dd0514c98bab7172a4ccb2f7a152d: GodPotato (gp1.exe)
- 493aaca456d7d453520caed5d62fdc00: PrintNotifyPotato (pp.exe)
- 87562e70e958c0a0e13646f558a85d04: Privilege escalation tool – CVE-2021-1732 (aa.aspx)
- 8f7dfbec116017d632ca77be578795fd: Fscan (fscan.exe)
- 5dcf26e3fbce71902b0cd7c72c60545b: NetCat (nc.exe)
- 523613a7b9dfa398cbd5ebd2dd0f4f38: NetCat (nc64.exe)
- d76e1525c8998795867a17ed33573552: EarthWorm (ew.exe)
- 5d93629fbc80fed017e1657392a28df4: Ladon (11.exe)
- e9cb6a37c43e0393d4c656bc9f6bf556: RingQ (ringq.exe)
- 705e5d7328ae381c5063590b4f5198da: CoinMiner downloader (gzrqo.aspx)
- b81577dbe375dbc1d1349d8704737adf: CoinMiner (aspx.exe)
C&C-Server-URLs
- 14.19.214[.]36:6666: NetCat
- 14.19.214[.]36:3333: NetCat
- 1.119.3[.]28:7455: Frpc
Download-URLs
- hxxp://sinmaxinter[.]top:7001/services.zip: CoinMiner
- hxxp://sinmaxinter[.]top:7001/C3-server25.zip: CoinMiner
- hxxp://14.19.214[.]36:6666/pp.exe: PrintNotifyPotato
- hxxp://14.19.214[.]36/aa.aspx: Privilege escalation tool – CVE-2021-1732
- hxxp://14.19.214[.]36/fscan.exe: Fscan
- hxxp://14.19.214[.]36/ew.exe: EarthWorm
- hxxp://14.19.214[.]36/11.exe: Ladon
- hxxp://14.19.214[.]36/RingQ.exe: RingQ
- hxxp://45.130.22[.]219/aspx.exe: CoinMiner
- hxxp://192.210.206[.]76/sRDI.dat: CoinMiner