Das Forschungsteam von Hunt hat einen öffentlich zugänglichen Webserver entdeckt, der zur Zielsetzung des taiwanesischen Freeway Bureau und eines lokalen Rechenzentrums genutzt wurde. Der Administrator dieses Servers verwendete Open-Source-Tools wie Nmap, SQLMap und die Backdoor BlueShell, um seine Aktivitäten durchzuführen.

Erste Entdeckung: Exponierter Webserver und Tools

Hunt-Forscher entdeckten einen öffentlich zugänglichen Webserver unter der IP-Adresse 103.98.73.189:8080 in Taiwan. Der Server, betrieben mit einem Python-basierten Webserver (SimpleHTTP/0.6 Python/3.8.2), war nur kurzzeitig offen, bevor der Angreifer den Fehler bemerkte. Mithilfe der Open Directory Search-Funktion von Hunt lud das Team Dateien von diesem Server herunter, um die Taktiken des Angreifers zu analysieren.

Einsatz von SQLMap und Nmap

Der Angreifer nutzte SQLMap, um nach Schwachstellen in einem Subdomain des legitimen taiwanesischen Regierungswebsites freeway.gov.tw zu suchen. Wichtige Dateien wie log, session.sqlite und target.txt wurden erfolgreich heruntergeladen, was Einblicke in die Methoden des Angreifers ermöglichte. Zusätzlich wurde Nmap verwendet, um nach offenen Ports innerhalb eines /26-Netzwerks in einem taiwanesischen Rechenzentrum zu suchen. Die Ergebnisse, obwohl aus Sicherheitsgründen verschleiert, zeigen einen systematischen Ansatz zur Identifizierung von Netzwerk-Schwachstellen.

Fortschrittliche Bash-Skripte und BlueShell Backdoor

Der Server enthielt mehrere Bash-Dateien im Verzeichnis ./configrc5. Ein bemerkenswertes Skript, genannt „a“, erkennt den CPU-Typ (AMD Zen4, Zen3, Zen2/1 oder Intel) und wendet Model-Specific Register (MSR)-Werte zur Leistungsoptimierung an. Dieser maßgeschneiderte Ansatz deutet auf einen gut informierten Angreifer mit umfassenden Kenntnissen des Zielnetzwerks hin.

Das Verzeichnis enthielt auch zwei Dateien, die in Golang geschrieben wurden, genannt bsServer-0530 und bsServerfinal. Sandbox-Analysen ergaben, dass diese Dateien auf server.pem im /key-Ordner zugriffen, was der Open-Source-Backdoor BlueShell entspricht.

Weitere Entdeckungen

Hunt’s Open Directory Search-Funktion enthüllte weitere fehlkonfigurierte Server, die auf taiwanesische Organisationen abzielten. Eine bemerkenswerte IP-Adresse, 156.251.172.194, wurde zuvor in einem Bericht von EclecticIQ über einen chinesischen Bedrohungsakteur erwähnt, der Cobalt Strike Cat zur Zielsetzung der kritischen Infrastruktur Taiwans verwendete.

Weitere Erwähnungen

Andere offene Verzeichnisse enthüllten verschiedene offensive Tools und Ziele. Beispielsweise nutzte die IP-Adresse 35.229.211.35 Tools wie die SecurityTrails API, Acunetix und ChatGPT. Eine weitere IP, 202.182.105.104, enthielt Scan-Ergebnisse gegen das kambodschanische Außenministerium und eine Schule, die den taiwanesischen Hakka-Dialekt lehrt.

Diese Untersuchung offener Verzeichnisse hat verschiedene offensive Tools und gezielte Scans gegen Regierungs- und Institutionseinrichtungen in Taiwan und darüber hinaus aufgedeckt. Die Methoden der Bedrohungsakteure zeigen einen kostengünstigen, aber effektiven Ansatz zur Zielsetzung von Netzwerken.

Fazit und Empfehlungen

Die kontinuierliche Überwachung und Analyse offener Verzeichnisse ist entscheidend, um potenzielle Bedrohungen zu identifizieren und zu mildern. Begleiten Sie Hunt in ihrer Mission, diese Bedrohungsakteure aufzuspüren und zu bekämpfen. Fordern Sie noch heute ein Konto an, um Zugang zu Hunts leistungsstarken Tools zu erhalten und zusammenzuarbeiten, um bösartige Infrastrukturen zu entdecken und zu analysieren.

Dieser Nachrichtenartikel bietet einen umfassenden Überblick über die jüngste Entdeckung des Hunt-Forschungsteams, hebt die verwendeten Tools und Methoden der Bedrohungsakteure hervor und betont die Bedeutung kontinuierlicher Wachsamkeit im Bereich der Cybersicherheit.

4o